Uma combinação de XSS em componente Arkose e lista de origens permissiva permitia que páginas visitadas enviassem comandos ao assistente no navegador como se fossem solicitações do usuário.
| Componente | Extensão Claude para Google Chrome, domínio a-cdn.claude[.]ai e componente CAPTCHA da Arkose Labs hospedado nesse escopo. |
| Vetor | Uma página visitada podia embutir o componente Arkose vulnerável de forma oculta, acionar uma falha DOM XSS por postMessage e fazer JavaScript injetado enviar um prompt à extensão. |
| Impacto | A exploração podia fazer a extensão receber instruções como se fossem do usuário, com risco de acesso a tokens, histórico de conversas e ações executadas em nome da vítima. |
| Prioridade | Garantir a atualização da extensão para a versão 1.0.41 ou posterior, validar controles de origem estritos e revisar telemetria de extensões com permissões sensíveis. |
| Versões | A correção da extensão foi publicada na versão 1.0.41; a correção no componente Arkose foi concluída em 19 de fevereiro de 2026. |
| Mitigação | A extensão passou a exigir correspondência exata com claude[.]ai, reduzindo a confiança indevida em subdomínios que combinavam com o padrão *.claude[.]ai. |
Uma vulnerabilidade na extensão Claude para Google Chrome expôs um caminho de injeção de prompt sem interação direta do usuário. O problema não dependia de clique em botão, aprovação de permissão ou preenchimento de formulário: bastava que a vítima visitasse uma página preparada para acionar a cadeia. A condição central era a combinação entre uma falha de cross-site scripting baseada em DOM no componente CAPTCHA da Arkose Labs hospedado em a-cdn.claude[.]ai e uma política de confiança ampla demais na extensão, que aceitava solicitações vindas de subdomínios correspondentes ao padrão *.claude[.]ai.
Na prática, o JavaScript executado no contexto do domínio confiável podia entregar uma solicitação à barra lateral do Claude como se a mensagem tivesse sido escrita pelo próprio usuário. Esse detalhe muda a leitura do risco: a vulnerabilidade não era apenas XSS em uma página auxiliar, mas uma quebra de fronteira entre conteúdo web, domínio permitido e assistente com capacidade de operar dentro do navegador. Como a extensão tem relação direta com navegação, conversas e ações mediadas por IA, uma instrução inserida por uma página externa poderia abusar dessa confiança para tentar acessar informações sensíveis, consultar histórico de interação ou induzir ações em nome da vítima.
A cadeia começava com uma página controlada por atacante ou comprometida que incorporava o componente Arkose vulnerável de maneira invisível para o usuário. Esse componente era carregado a partir de a-cdn.claude[.]ai, um subdomínio dentro do espaço de nomes associado ao Claude. A falha DOM XSS permitia que dados enviados por postMessage influenciassem a execução de JavaScript no contexto desse subdomínio. Como esse contexto era aceito pela extensão, o código injetado podia emitir uma solicitação para a interface lateral do assistente.
O ponto crítico estava na validação de origem. A extensão permitia que qualquer subdomínio compatível com *.claude[.]ai enviasse prompts para execução, em vez de restringir a comunicação a uma origem exata. Essa decisão transformou um XSS em componente terceirizado em um canal de comando para o assistente. O navegador da vítima não precisava exibir uma mudança perceptível, porque o componente podia ser incorporado de forma oculta e a interação com a extensão ocorria no plano de comunicação entre a página, o domínio confiável e o código da extensão.
O impacto confirmado no contexto é a possibilidade de injetar prompts na extensão. A partir dessa capacidade, o risco operacional incluía tentativa de acessar tokens, ler histórico de conversas com o agente e executar ações em nome do usuário, como envio de mensagens ou solicitações de dados confidenciais. Esses efeitos dependiam das permissões e do estado autenticado disponíveis no navegador da vítima, portanto a exploração efetiva variava conforme a configuração da extensão, a sessão do usuário e o nível de acesso concedido ao assistente.
A superfície exposta incluía usuários da extensão Claude para Chrome antes da correção 1.0.41, especialmente quando a extensão estava autenticada e habilitada para interagir com páginas ou serviços do navegador. Ambientes corporativos que permitem assistentes de IA no navegador precisam tratar esse tipo de falha como risco de fronteira de confiança, não apenas como problema isolado de aplicação web. O componente vulnerável estava em um subdomínio aceito pela lógica da extensão, e essa relação foi suficiente para transformar uma origem auxiliar em emissora de instruções confiáveis.
O caso também expõe uma dependência importante em componentes de terceiros. A falha de XSS estava no componente Arkose Labs, mas o impacto sobre o assistente ocorreu porque a extensão confiava amplamente em subdomínios relacionados ao serviço. Quando uma extensão concede poderes a origens web, qualquer biblioteca, CDN, CAPTCHA, widget ou componente hospedado dentro desse espaço passa a fazer parte da fronteira de segurança do agente.
- Extensão Claude para Google Chrome em versões anteriores à correção
1.0.41. - Comunicação aceita de subdomínios compatíveis com
*.claude[.]aiantes da validação exata de origem. - Componente Arkose Labs hospedado em
a-cdn.claude[.]aicom falha DOM XSS corrigida em 19 de fevereiro de 2026. - Usuários com sessão ativa e histórico ou permissões relevantes disponíveis ao assistente no navegador.
A investigação defensiva deve priorizar sinais de uso anômalo da extensão e correlação com navegação imediatamente anterior. Como o fluxo podia ser acionado por visita a uma página, logs de proxy, EDR, histórico corporativo de navegação e eventos de extensão podem ajudar a identificar sessões em que páginas não relacionadas ao Claude precederam prompts incomuns, respostas inesperadas do assistente ou ações realizadas pelo navegador sem intenção clara do usuário.
Em ambientes gerenciados, a telemetria mais útil está na combinação de versão instalada, permissões concedidas, atividade de extensões e eventos de identidade. A presença de prompts que pedem dados sensíveis, acessam histórico de conversa ou tentam agir em serviços autenticados deve ser revisada com atenção, principalmente se ocorrer em sequência a páginas externas, anúncios, redirecionamentos ou conteúdo incorporado. A ausência de clique do usuário reduz o valor de logs de interação visual, então a análise precisa se apoiar mais em origem, tempo, versão e comportamento subsequente.
- Inventário de endpoints com extensão Claude instalada abaixo da versão
1.0.41. - Eventos de navegação para páginas externas imediatamente antes de prompts inesperados no assistente.
- Solicitações do assistente envolvendo tokens, histórico de conversas, envio de e-mails ou pedidos de dados confidenciais.
- Carregamentos ou referências ao domínio defangado
a-cdn.claude[.]aiem sessões associadas a comportamento anômalo. - Mudanças de comportamento após visitas a páginas com conteúdo incorporado, iframes ou mensagens entre janelas via
postMessage.
A ação principal é confirmar que a extensão está na versão 1.0.41 ou posterior, pois essa atualização passou a exigir correspondência exata com claude[.]ai para aceitar comunicações relevantes. A mudança reduz a exposição causada por subdomínios auxiliares e impede que qualquer host sob o mesmo padrão amplo seja tratado como emissor confiável de prompts. Organizações que gerenciam navegadores devem impor versão mínima, bloquear instalações antigas e revisar políticas de atualização automática.
A correção no lado Arkose, concluída em 19 de fevereiro de 2026, remove o componente XSS conhecido nessa cadeia, mas a lição defensiva mais ampla é validar a fronteira de confiança de extensões com capacidades autônomas. Assistentes de IA no navegador devem ter listas de origem mínimas, validação exata, escopos de permissão reduzidos e controles para impedir que conteúdo incorporado atue como usuário. Quando a extensão pode navegar, ler dados ou interagir com serviços autenticados, a origem que entrega instruções precisa ser tratada como superfície crítica.
- Atualizar a extensão Claude para Chrome para
1.0.41ou posterior em todos os perfis gerenciados. - Remover ou bloquear versões antigas da extensão em navegadores corporativos até a atualização ser validada.
- Revisar políticas de extensões com acesso a páginas, credenciais, histórico ou serviços autenticados.
- Auditar prompts e ações sensíveis ocorridos antes da atualização, priorizando sessões com navegação externa imediatamente anterior.
- Preferir allowlists com origem exata e negar confiança automática a subdomínios auxiliares, CDNs, widgets e componentes de terceiros.
0 Comentários