ChainCatcher relata, conforme citado pelo GoPlus com base em relatório da Koi, o extensão Claude Chrome da Anthropic apresenta uma vulnerabilidade crítica de injeção de prompt, afetando todas as versões abaixo da 1.41. Atacantes podem criar páginas web maliciosas para carregar silenciosamente em segundo plano um iframe com vulnerabilidade XSS e executar carga maliciosa no subdomínio a-cdn.claude.ai. Como esse subdomínio está na lista de confiança da extensão, os atacantes podem enviar diretamente prompts maliciosos ao extensão Claude e executá-los automaticamente, sem necessidade de autorização ou clique do usuário, deixando a vítima inconsciente. Essa vulnerabilidade permite que atacantes controlem a extensão Claude para ler documentos do Google Drive do usuário, roubar tokens de acesso empresarial ou exportar registros de bate-papo, além de poder assumir a sessão atual do navegador para realizar operações sensíveis, como enviar e-mails, em nome da vítima. O GoPlus recomenda que os usuários atualizem imediatamente a extensão Claude para a versão 1.41 ou superior e fiquem atentos a links de phishing.
Extensão Claude para Chrome versões abaixo de 1.41 vulneráveis a falha de injeção de prompt
ChaincatcherCompartilhar
Resumo
Um novo relatório de vulnerabilidade revela que as versões da extensão Claude Chrome abaixo da 1.41 estão em risco de ataques de injeção de prompt. Atacantes podem usar iframes maliciosos para executar cargas úteis no subdomínio whitelistado a-cdn.claude.ai. Essa falha pode levar ao roubo de dados, incluindo acesso ao Google Drive e sequestro de sessão. A GoPlus recomenda atualizar para a versão 1.41 ou superior. O problema destaca a importância de permanecer atento aos riscos de exploração DeFi e outras ameaças de segurança. Os usuários são aconselhados a evitar links suspeitos e garantir que suas extensões estejam atualizadas.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.