Ayon sa ChainCatcher, ayon sa ulat ng Koi na binanggit ni GoPlus, may mataas na panganib na vulnerability sa prompt injection sa Claude Chrome extension ng Anthropic, na nakaaapekto sa lahat ng bersyon na mas mababa sa 1.41. Maaari ng mga attacker na magbuo ng masasamang webpage upang mag-load nang tahimik sa background ng isang iframe na may XSS vulnerability, at pagsisimulan ang masasamang payload sa loob ng subdomain na a-cdn.claude.ai. Dahil ang subdomain na ito ay nasa trusted whitelist ng extension, maaari ng mga attacker na direktang magpadala at awtomatikong pagsisimulan ang masasamang prompt sa Claude extension nang walang kahit anong pahintulot o pag-click mula sa user—nang walang kamalayan ng biktima. Maaaring magresulta ang vulnerability na ito sa pagkontrol ng extension ng Claude upang basahin ang mga dokumento ng user sa Google Drive, makuha ang mga business access token, o i-export ang mga talaan ng usapan, at maaari ring gamitin upang kunin ang kasalukuyang browser session ng biktima upang gawin ang mga sensitibong aksyon tulad ng pagpapadala ng email. Inirerekomenda ni GoPlus na i-update agad ng mga user ang Claude extension sa 1.41 o mas mataas, at maging mapanatag sa mga phishing link.
Ang mga bersyon ng Claude Chrome Extension na mas mababa sa 1.41 ay vulnerable sa pagpapalagay ng prompt
ChaincatcherI-share
Summary
Isang bagong ulat tungkol sa vulnerability ay nagpapakita na ang mga bersyon ng Claude Chrome extension na mas mababa sa 1.41 ay nasa panganib ng prompt injection attacks. Maaaring gamitin ng mga attacker ang mga masasamang iframe upang i-execute ang mga payload sa whitelisted a-cdn.claude.ai subdomain. Maaaring magresulta ang kakulangan na ito sa pagkawala ng data, kabilang ang pag-access sa Google Drive at session hijacking. I-rekomenda ng GoPlus ang pag-update sa bersyon 1.41 o mas mataas. Ang problema ay nagpapakita ng kahalagahan ng pagiging alerto sa mga panganib ng DeFi exploit at iba pang security threats. Inirerekomenda sa mga user na iwasan ang mga suspicious links at siguraduhing updated ang kanilang mga extension.
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.