
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Rozszerzenia przeglądarkowe wyposażone w funkcje agentowe AI coraz częściej uzyskują dostęp do poczty, dokumentów, kalendarzy i systemów CRM. W takim modelu nawet pojedynczy błąd w logice zaufania może sprawić, że narzędzie zaprojektowane do automatyzacji pracy stanie się wektorem nadużycia.
Właśnie taki problem wykryto w rozszerzeniu Claude dla Chrome. Luka pozwala innemu dodatkowi działającemu w kontekście strony usługi wyzwalać określone akcje AI poprzez symulowane kliknięcia, bez rzeczywistej intencji użytkownika.
W skrócie
Badacze bezpieczeństwa opisali podatność, która umożliwia złośliwemu rozszerzeniu uruchamianie predefiniowanych workflow AI w Claude dla Chrome. Problem wynika z braku skutecznej weryfikacji, czy zdarzenie kliknięcia pochodzi od użytkownika, czy zostało wygenerowane programowo.
Zakres ataku nie obejmuje dowolnych poleceń, lecz zestaw gotowych zadań przygotowanych przez producenta. Mimo tego potencjalne skutki są istotne, ponieważ chodzi o operacje wykonywane w usługach o wysokiej wrażliwości, takich jak Gmail, Google Docs, Kalendarz Google czy Salesforce.
- odczyt wiadomości Gmail,
- analiza komentarzy w Google Docs,
- przeglądanie kalendarza i wolnych terminów,
- modyfikacja rekordów w Salesforce.
Kontekst / historia
Nie jest to klasyczna luka prowadząca do zdalnego wykonania kodu ani pełnego przejęcia konta. Problem dotyczy przede wszystkim naruszenia granicy zaufania między rozszerzeniami przeglądarki oraz między interfejsem użytkownika a warstwą agentową AI.
Claude dla Chrome został zaprojektowany tak, aby wykonywać zestaw predefiniowanych działań zamiast przyjmować całkowicie dowolne instrukcje. Taki model z założenia ogranicza ryzyko, ale tylko wtedy, gdy uruchamianie tych działań jest ściśle powiązane z autentyczną interakcją człowieka.
Badacze z Manifold Security zgłosili producentowi dwa problemy w maju 2026 roku. Pierwszy dotyczył syntetycznych kliknięć wyzwalających workflow, a drugi parametru skipPermissions=true, który miał wpływać na sposób obsługi uprawnień w panelu rozszerzenia. Według opisu badaczy oba zachowania nadal można było odtworzyć jeszcze w lipcu 2026 roku.
Analiza techniczna
Rdzeń pierwszej podatności sprowadza się do obsługi zdarzeń DOM. Rozszerzenie nasłuchiwało kliknięć na elemencie odpowiedzialnym za uruchamianie określonych zadań AI, ale nie odróżniało w wystarczający sposób kliknięć prawdziwych od tych wygenerowanych przez skrypt.
W praktyce oznacza to, że inne rozszerzenie mogące wykonywać kod na stronie Claude mogło przygotować odpowiedni element, ustawić identyfikator zadania i wywołać syntetyczne kliknięcie. Jeśli logika aplikacyjna traktowała taki sygnał jako prawidłowy, dochodziło do uruchomienia jednego z dostępnych workflow.
- wstrzyknięcie odpowiedniego elementu DOM,
- ustawienie identyfikatora zadania,
- wygenerowanie sztucznego kliknięcia,
- wywołanie predefiniowanej akcji AI.
To klasyczny przykład błędu walidacji intencji użytkownika. Sama przeglądarka rozróżnia zdarzenia zaufane od niezaufanych, ale jeśli aplikacja nie wykorzysta tej informacji, warstwa ochronna przestaje działać w praktyce.
Drugi problem ma charakter bardziej architektoniczny. Wskazany parametr skipPermissions=true mógł według badaczy wpływać na tryb pracy panelu rozszerzenia i osłabiać część kontroli uprawnień. Sam w sobie nie musiał oznaczać pełnego wektora ataku, lecz mógł stanowić niebezpieczny element pomocniczy przy łączeniu z innymi lukami.
Konsekwencje / ryzyko
Najważniejsze znaczenie tej luki wynika z faktu, że złośliwe rozszerzenie może nadużyć zaufania wcześniej przyznanego agentowi AI. Z perspektywy ofiary działania są wykonywane z użyciem legalnie zalogowanej sesji i autoryzowanych integracji, co utrudnia wykrycie incydentu.
Poziom ryzyka zależy od konfiguracji środowiska oraz modelu potwierdzania działań. Jeśli użytkownik lub organizacja dopuszcza bardziej automatyczne wykonywanie akcji bez każdorazowej zgody, scenariusz staje się wyraźnie groźniejszy.
- nieautoryzowany odczyt danych z usług Google,
- manipulacja procesami i rekordami w narzędziach biznesowych,
- wykonywanie operacji przez prawidłowo uwierzytelnioną sesję,
- ograniczona widoczność incydentu w standardowych logach użytkownika.
Dla organizacji korzystających z agentów AI w przeglądarce to ważne ostrzeżenie. Nawet jeśli sam model działa wyłącznie w granicach określonych zadań, to warstwa integracyjna i mechanizmy autoryzacji pozostają kluczowym elementem powierzchni ataku.
Rekomendacje
Najlepszą odpowiedzią na tego typu ryzyko jest ograniczenie zaufania do rozszerzeń przeglądarkowych oraz traktowanie dodatków AI jako komponentów uprzywilejowanych, a nie zwykłych narzędzi zwiększających produktywność.
- ograniczyć liczbę zainstalowanych rozszerzeń do niezbędnego minimum,
- regularnie audytować uprawnienia dodatków i dostęp do konkretnych domen,
- wyłączyć lub ograniczyć automatyczne wykonywanie akcji AI bez potwierdzenia,
- monitorować nietypowe działania agentów AI w usługach SaaS,
- wdrożyć polityki firmowe blokujące nieautoryzowane rozszerzenia,
- testować dodatki agentowe pod kątem odporności na manipulację DOM i błędy walidacji zdarzeń.
Z perspektywy producentów oprogramowania kluczowe jest egzekwowanie wykonywania akcji wyłącznie po zaufanej interakcji użytkownika. Dodatkowo tryby podwyższonych uprawnień nie powinny być aktywowane przez parametry URL ani mechanizmy łatwe do odtworzenia poza właściwym przepływem działania.
Podsumowanie
Przypadek Claude dla Chrome pokazuje, że bezpieczeństwo agentów AI zależy nie tylko od modelu i treści poleceń, ale przede wszystkim od granic zaufania w interfejsie, integracjach i logice rozszerzenia. Choć opisana luka nie dawała pełnej dowolności atakującemu, umożliwiała uruchamianie realnych działań o wpływie na dane użytkownika i procesy biznesowe.
Dla zespołów bezpieczeństwa to kolejny sygnał, że rozszerzenia z funkcjami AI należy oceniać tak samo rygorystycznie jak inne komponenty mające szeroki dostęp do danych i usług firmowych.