✔Claude для Chrome позволяет другим расширениям читать данные Gmail, Google Docs и не только - «Новости»
Исследователи из компании Manifold Security обнаружили уязвимость в расширении Claude для Chrome. Другой вредоносный аддон может имитировать клики пользователя и вынудить Claude прочитать данные из Gmail, Google Docs, Google Calendar и Salesforce. Причем если активен режим «Act without asking», задачи выполняются без подтверждения со стороны человека.
Исследователи рассказывают, что для атаки злоумышленнику необходимо убедить жертву установить вредоносное расширение, которое имеет право выполнять код в домене claude.ai. После этого малварь получает возможность вмешиваться в содержимое страницы и генерировать события мыши и клавиатуры.
Claude для Chrome отслеживает клики по определенному элементу на claude.ai. При этом обнаружилось, что расширение принимает синтетический клик, сгенерированный с помощью jаvascript. То есть не проверяет, исходят ли клик от реального пользователя.
Такой клик запускает один из девяти встроенных воркфлоу, позволяющих Claude выполнять различные задачи в подключенных сервисах, включая Gmail, Google Docs, Google Calendar, Salesforce, DoorDash и Zillow.
Весной 2026 года аналитики из компании LayerX обнаружили похожую уязвимость ClaudeBleed, и тогда специалисты Anthropic запретили страницам передавать расширению произвольные промпты и оставили только фиксированный набор команд. Однако, как выяснилось теперь, механизм запуска задач по-прежнему не проверяет свойство Event.isTrusted, которое отличает настоящий пользовательский клик от события, созданного посредством jаvascript.
В результате вредоносному расширению достаточно добавить на страницу нужный элемент, указать идентификатор встроенной задачи и сгенерировать синтетический клик. Claude принимает его за действие настоящего пользователя и открывает соответствующий воркфлоу. То есть атакующие могут вынудить ассистента прочитать последние письма в Gmail, открыть свежий документ в Google Docs и комментарии к нему, проверить календарь или изменить данные в Salesforce.
Последствия такой атаки зависят от настроек расширения Claude для Chrome. В стандартном режиме «Ask before acting» ассистент запрашивает у пользователя подтверждение перед доступом к данным, поэтому жертве все равно придется дать ИИ разрешение. Manifold оценивает опасность этого сценария в 7,7 балла по шкале CVSS.
Однако если пользователь включил режим «Act without asking», задача запускается автоматически и без уведомлений. Такой вариант исследователи оценивают в 9,6 балла по шкале CVSS.
Также специалисты пишут, что нашли параметр skipPermissions=true, который переводит боковую панель Claude в режим без проверки разрешений. Этот механизм нельзя вызвать извне: нужный URL формирует только само расширение. Однако исследователи предупреждают, что любая будущая уязвимость, которая позволит внешнему коду влиять на этот URL, может открыть дорогу к запуску любых задач без подтверждения.
Эксперты уведомили представителей Anthropic о проблемах еще 21 мая 2026 года, когда актуальной была версия 1.0.72 Claude для Chrome. Отчет о поддельных кликах в компании закрыли, объяснив, что эту проблему уже рассматривают в рамках исправления проблемы ClaudeBleed. Вторую находку, связанную с параметром skipPermissions=true, сочли не представляющей отдельной угрозы.
По данным Manifold, оба бага по-прежнему сохраняются в свежей версии 1.0.80, которая вышла 7 июля 2026 года. За восемь релизов разработчики так и не изменили код, который обрабатывает клики и запускает боковую панель.
Эксперты советуют пользователям отключать режим «Act without asking», а также внимательно проверять все расширения, которым разрешено читать и изменять данные в домене claude.ai.





