Luka w Claude for Chrome pozwala rozszerzeniom wywoływać odczyt Gmaila i Dokumentów Google - Security Bez Tabu

Luka w Claude for Chrome pozwala rozszerzeniom wywoływać odczyt Gmaila i Dokumentów Google

Cybersecurity news

Wprowadzenie do problemu

Badacze bezpieczeństwa ujawnili podatność w rozszerzeniu Claude for Chrome, która może umożliwić innym rozszerzeniom uruchamianie wybranych akcji agenta AI w kontekście aktywnej sesji użytkownika. Problem dotyczy granicy zaufania między interfejsem strony, skryptami działającymi w przeglądarce oraz samym rozszerzeniem, które posiada uprzywilejowany dostęp do danych i usług dostępnych z poziomu przeglądarki.

W praktyce oznacza to, że odpowiednio przygotowane złośliwe lub nadmiernie uprzywilejowane rozszerzenie może nakłonić Claude for Chrome do wykonania określonych czynności, takich jak odczyt wiadomości Gmail, treści ostatnich Dokumentów Google czy informacji z kalendarza. To szczególnie istotne ryzyko w środowiskach, gdzie użytkownicy pracują na zalogowanych kontach firmowych.

W skrócie

Istota podatności sprowadza się do akceptowania przez rozszerzenie syntetycznych zdarzeń kliknięcia, które mogą być generowane skryptowo, zamiast wyłącznie autentycznych interakcji użytkownika. Dzięki temu inne rozszerzenie, działające w odpowiednim kontekście strony, może wywołać z góry zdefiniowane zadania dostępne w Claude for Chrome.

  • atak nie wymaga przejęcia hasła użytkownika,
  • wykorzystuje aktywną sesję w przeglądarce,
  • może prowadzić do dostępu do poczty, dokumentów i kalendarza,
  • ryzyko rośnie, gdy włączony jest tryb działania bez każdorazowego potwierdzenia.

Kontekst i historia

Opisany problem stanowi rozwinięcie wcześniejszych zastrzeżeń związanych z bezpieczeństwem architektury Claude for Chrome. Po wcześniejszych doniesieniach producent ograniczył możliwość arbitralnego przekazywania poleceń, zastępując ją zamkniętą listą dozwolonych identyfikatorów zadań. Taka zmiana zmniejszyła skalę nadużyć, ale nie usunęła głównego problemu: braku wiarygodnej weryfikacji źródła wywołania.

Z perspektywy bezpieczeństwa to ważna różnica. Atakujący nie musi już wstrzykiwać dowolnych instrukcji, lecz może wymusić uruchomienie jednego z gotowych scenariuszy operacyjnych. W środowisku, w którym agent AI ma dostęp do danych użytkownika w aplikacjach SaaS, nawet taka częściowo ograniczona możliwość może prowadzić do realnego naruszenia poufności.

Analiza techniczna

Rdzeń problemu znajduje się w logice obsługi kliknięć po stronie rozszerzenia. Mechanizm nasłuchujący zdarzeń odczytuje identyfikator zadania z elementu DOM i przekazuje go do workflow uruchamianego w panelu bocznym. Błąd polega na tym, że rozszerzenie nie rozróżnia poprawnie między prawdziwym kliknięciem użytkownika a kliknięciem sztucznie wygenerowanym przez skrypt.

To klasyczny przykład problemu typu confused deputy. Rozszerzenie działa z wyższymi uprawnieniami niż zwykły skrypt strony, ale nie weryfikuje dostatecznie, czy żądanie wykonania akcji rzeczywiście pochodzi od użytkownika. Jeśli inne rozszerzenie może modyfikować DOM lub uruchamiać kod w obrębie odpowiedniej domeny, może przygotować oczekiwany element interfejsu, przypisać mu właściwy identyfikator zadania i wywołać syntetyczne kliknięcie.

Badacze opisali również dodatkowy problem związany z parametrem sterującym pominięciem kontroli uprawnień podczas inicjalizacji panelu bocznego. Taki mechanizm sam w sobie nie musi od razu oznaczać pełnej kompromitacji, ale stanowi niebezpieczny prymityw eskalacyjny. Jeśli zostałby połączony z inną luką pozwalającą wpływać na ten parametr, mogłoby to umożliwić znacznie cichsze i mniej widoczne wykonanie akcji bez typowego etapu akceptacji.

Znaczenie ma również konfiguracja pracy rozszerzenia. W trybie domyślnym użytkownik nadal może zobaczyć etap potwierdzenia przed wykonaniem działania. Jednak przy aktywnym trybie automatycznym ścieżka do realizacji operacji staje się krótsza, a cały atak trudniejszy do zauważenia.

Konsekwencje i ryzyko

Najpoważniejszym skutkiem jest możliwość nadużycia zaufanego agenta przeglądarkowego do dostępu do danych już dostępnych w sesji użytkownika. Chodzi nie tylko o pojedyncze wiadomości e-mail, ale także o dokumenty robocze, komentarze, metadane spotkań czy zawartość kalendarza. Tego typu atak omija konieczność kradzieży poświadczeń, bo wykorzystuje istniejące uprawnienia i zalogowaną sesję.

W środowiskach organizacyjnych podatność zwiększa ryzyko wycieku danych oraz tworzy niebezpieczny łańcuch zależności między pozornie nieszkodliwymi rozszerzeniami. Jeden komponent może dostarczyć możliwość uruchamiania skryptów, a drugi wykonać operacje na danych w imieniu użytkownika.

  • ekspozycja poufnej korespondencji e-mail,
  • ujawnienie dokumentów i komentarzy projektowych,
  • dostęp do kalendarza i informacji o spotkaniach,
  • nadużycie zaufanej sesji bez przejmowania loginu i hasła,
  • zwiększenie powierzchni ataku w przeglądarce.

Rekomendacje

Organizacje oraz użytkownicy indywidualni powinni potraktować ten przypadek jako sygnał ostrzegawczy dotyczący bezpieczeństwa agentów AI w przeglądarce. Kluczowe jest ograniczenie zaufania nie tylko do samego modelu AI, ale również do całego otoczenia wykonawczego, w tym innych rozszerzeń.

  • wyłączyć tryb działania bez potwierdzenia, jeśli nie jest niezbędny,
  • ograniczyć liczbę zainstalowanych rozszerzeń do absolutnego minimum,
  • przeprowadzić audyt dodatków z uprawnieniami do odczytu i modyfikacji stron,
  • używać osobnego profilu przeglądarki do pracy z agentami AI,
  • nie korzystać z takich rozszerzeń na kontach administracyjnych i uprzywilejowanych,
  • śledzić komunikaty producenta i wdrożyć poprawkę natychmiast po publikacji.

Dla twórców oprogramowania i zespołów bezpieczeństwa ważne pozostaje wymuszanie walidacji rzeczywistych interakcji użytkownika, traktowanie parametrów URL jako danych niezaufanych oraz modelowanie zagrożeń obejmujące komunikację między rozszerzeniem, content scriptami i kontekstem strony. To właśnie warstwa integracyjna, a nie sam model językowy, staje się tutaj głównym źródłem ryzyka.

Podsumowanie

Luka w Claude for Chrome pokazuje, że bezpieczeństwo agentów AI w przeglądarce zależy przede wszystkim od poprawnego egzekwowania granic zaufania. Nawet po ograniczeniu możliwości przekazywania dowolnych poleceń pozostawienie podatnej ścieżki uruchamiania gotowych zadań może otworzyć drogę do nadużyć przez inne rozszerzenia.

Dla firm i użytkowników to ważne przypomnienie, że rozszerzenia AI należy traktować jak komponenty uprzywilejowane. Wymagają one takiego samego nadzoru, segmentacji i kontroli jak inne elementy środowiska końcowego, zwłaszcza gdy mają dostęp do poczty, dokumentów i usług chmurowych.

Źródła

  1. Researchers Say Claude for Chrome Flaw Lets Rogue Extensions Trigger Gmail Reads
  2. ClaudeBleed Reopened: Browser Extensions Can Still Push Claude for Chrome to Read Your Gmail
  3. Claude in Chrome permissions guide
  4. Get started with Claude in Chrome
  5. Unpatched Claude for Chrome Flaw Lets Extensions Read Gmail, Calendar