ChainCatcherの情報によると、GoPlusがKoiのレポートを引用したところ、AnthropicのClaude Chrome拡張機能に深刻なプロンプトインジェクション脆弱性が存在し、1.41バージョンより前のすべての拡張機能が影響を受けています。攻撃者は悪意のあるウェブページを構成することで、バックグラウンドでXSS脆弱性を含むiframeを静かに読み込み、a-cdn.claude.aiサブドメイン内で悪意のあるペイロードを実行できます。このサブドメインは拡張機能の信頼ホワイトリストに含まれているため、攻撃者はユーザーの許可やクリック操作なしにClaude拡張機能に悪意のあるプロンプトを直接送信し、自動的に実行できます。被害者はこのプロセスを一切認識できません。この脆弱性により、攻撃者はClaude拡張機能を操作してユーザーのGoogle Driveドキュメントを読み取り、ビジネスアクセストークンを盗み取り、チャット履歴をエクスポートすることが可能になり、さらに現在のブラウザセッションを乗っ取り、メール送信などの機密操作を被害者の身分で実行できます。GoPlusはユーザーに対し、Claude拡張機能をすぐに1.41以上にアップデートし、フィッシングリンクに注意するよう勧めています。
バージョン1.41未満のClaude Chrome拡張機能はプロンプトインジェクションの脆弱性を抱えています
Chaincatcher共有
概要
新しい脆弱性に関するニュースレポートによると、Claude Chrome拡張機能のバージョン1.41未満は、プロンプトインジェクション攻撃のリスクにさらされています。攻撃者は悪意のあるiframeを使用して、ホワイトリストに登録されたa-cdn.claude.aiサブドメイン上でペイロードを実行できます。この脆弱性により、Google Driveへのアクセスやセッションハイジャックを含むデータ盗難が発生する可能性があります。GoPlusは、バージョン1.41以上への更新を推奨します。この問題は、DeFi攻撃リスクおよびその他のセキュリティ脅威に対する警戒の重要性を浮き彫りにしています。ユーザーは、疑わしいリンクを避けて、拡張機能を最新の状態に保つよう推奨されます。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。