
A ausência de verificação de confiança em eventos permite que outras extensões disparem leituras de Gmail e Documentos Google, contornando controles de aprovação na versão mais recente.
| Componente | Extensão Claude for Chrome, versão 1.0.80 e anteriores |
| Vetor | Disparo de clique sintético em elemento DOM específico (#claude-onboarding-button) por outra extensão, sem verificação do flag event.isTrusted |
| Impacto | Execução não autorizada de tarefas predefinidas (leitura de e-mail, documentos e agenda), com potencial de execução silenciosa se o modo 'Act without asking' estiver ativado |
| Prioridade | Desativar imediatamente o modo de automação 'Act without asking' e revisar permissões de extensões com acesso ao domínio claude[.]ai |
_pesquisadores de segurança identificaram uma falha persistente na extensão Claude for Chrome que permite que outra extensão maliciosa ou comprometida dispare tarefas automatizadas de alta sensibilidade. A vulnerabilidade reside na forma como a extensão valida interações do usuário em sua interface dentro do domínio claude[.]ai. Embora a Anthropic tenha implementado restrições após o incidente ClaudeBleed para limitar o envio de comandos arbitrários, restrictindo o escopo a uma lista permitida (allowlist) de nove tarefas fixas, o mecanismo de acionamento dessas tarefas permanece vulnerável à injeção de eventos não confiáveis.
A análise técnica confirma que a falha está presente na versão atual, 1.0.80, overwrite oito versões após o reporte inicial. O problema central é a incapacidade do *content script* da extensão em distinguir entre um clique físico genuíno do usuário e um evento枫 sintético disparado programaticamente por outro script no contexto do navegador. Isso permite que qualquer extensão que possua permissão para ler ou modificar dados no domínio claude[.]ai ative funções específicas, como a leitura de e-mails do Gmail, o acesso ao último documento Google Docs editado e suas anotações, e a varredura da agenda do Google Calendar.
O risco é agravado pelas configurações de permissão do usuário. No modo padrão, onde a extensão solicita aprovação antes de agir, o ataque resulta em uma caixa de diálogo de aprovação forjada que exige interação, classificada como CVSS 7.7. No entanto, se o usuário tiver habilitado o recurso "Act without asking" (Agir sem perguntar), que permite a automação *hands-off*, a tarefa maliciosa é executada silenciosamente, elevando a gravidade para CVSS 9.6 (Crítica). Até a data de publicação, não há *patch* disponível, e a única mitigação eficaz é a reconfiguração manual das permissões e a revisão do ecossistema de extensões instaladas.
O fluxo de ataque explora a arquitetura de comunicação entre a página web e a extensão. Para contornar a restrição de *prompt* arbitrário imposta após o ClaudeBleed, o atacante não tenta injetar texto livre. Em vez disso, ele manipula o gatilho de execução de tarefas já aprovadas. A extensão possui um *listener* de eventos aguardando cliques em um elemento específico do DOM, identificado pelo seletor #claude-onboarding-button. Quando detectado, o script lê o atributo data-task-id desse elemento. Se o ID corresponder a um dos nove permitidos (como usecase-gmail, usecase-gdocs ou usecase-calendar), a extensão envia uma mensagem interna open_side_panel carregando o prompt associado.
A falha crítica ocorre porque o manipulador de eventos (event handler) não verifica a propriedade event.isTrusted. Em navegadores modernos, essa propriedade é um booleano que distingue eventos gerados por ações do usuário (verdadeiro) de eventos criados ou modificados por scripts (falso). Ao omitir essa verificação, a extensão aceita um clique sintético despachado por dispatchEvent como se fosse uma interação legítima. *Proofs of concept* demonstraram que seis linhas de código no console do navegador ou um script de outra extensão são suficientes para construir o elemento, definir o ID da tarefa e disparar o evento, sendo o código executado mesmo com o registro exibindo isTrusted: false.
Uma segunda questão, relacionada à gestão de estado, envolve o parâmetro de URL ?skipPermissions=true. Inicializar o *side panel* da extensão com este parâmetro instrui o código a pular todas as verificações de permissão e iniciar a sessão em modo de execução direta. Atualmente, essa URL só pode ser construída internamente pela própria extensão, não havendo um vetor de ataque remoto direto. Contudo, a existência desse parâmetro representa um risco de composição: se uma vulnerabilidade futura permitir que um contexto com menos privilégios manipule a URL de inicialização, o ataque de clique forjado poderia evoluir para uma leitura de conta totalmente silenciosa, sem a necessidade de configuração prévia de "Act without asking" pelo usuário.
A superfície de ataque é definida pela convivência de duas condições no ambiente do navegador: a instalação da extensão Claude for Chrome e a presença de qualquer outra extensão com permissões suficientes para interagir com o DOM do site claude[.]ai. Isso inclui extensões com permissão ampla de "ler e alterar dados em todos os sites" ou direcionada especificamente ao domínio da Anthropic. A falha independe do modelo de IA selecionado para operação (Opus, Sonnet ou Fable), pois o defeito reside na camada de automação da extensão, não no *core* do modelo de linguagem.
Os ativos e dados colocados em risco incluem o histórico de e-mails do Gmail acessível através da tarefa usecase-gmail, o conteúdo e comentários dos Documentos Google recentes via usecase-gdocs, e os compromissos e metadados da Agenda Google através de usecase-calendar. A extensão mantém nove tarefas fixas, sendo essas três as que envolvem leitura direta de dados pessoais ou corporativos sensíveis. O impacto é imediato para perfis de usuários que utilizam a ferramenta de produttividade e que mantêm(intervalo) integrações com o ecossistema Google Workspace efetuado.
- Extensão Claude for Chrome nas versões até 1.0.80
- Usuários com o modo "Act without asking" habilitado estão sujeitos a execução totalmente silenciosa
- Contas do Gmail, Google Docs e Google Calendar vinculadas ao navegador
- Ambientes onde extensões de terceiros têm acesso de leitura/escrita ao domínio claude[.]ai
A detecção de tentativas de exploração dessa vulnerabilidade é desafiadora, pois ocorre inteiramente no lado do cliente (*client-side*) por meio da API de extensões do navegador. Não há tráfego de rede indicativo direto, pois a solicitação é tratada internamente como uma instrução legítima. equipes de segurança devem focar na auditoria de extensões instaladas e no monitoramento de comportamento anômalo na interface do usuário.
Administradores de *endpoints* podem verificar os logs do navegador em busca de acessos concorrentes ao domínio claude[.]ai por processos de diferentes extensões. A telemetria de segurança deve alertar sobre o aparecimento repentino de permissões de *side panel* ou a ativação da extensão Claude em momentos em que o usuário não interagiu ativamente com a interface. A presença de scripts injetados em páginas seguras pode ser um indicador, mas exige ferramentas avançadas de proteção do navegador (EBR).
- Auditoria de manifestos de extensões instaladas buscando permissão de acesso ao host claude.ai
- Monitoramento de logs do console do navegador por eventos com
isTrusted: falseassociados à extensão - Verificação do estado da configuração "Act without asking" na base de registro ou preferências do navegador
- Revisão de acesso não autorizado a APIs do Google Workspace (Gmail, Docs, Calendar) originado de sessões do navegador
Na ausência de uma correção oficial (a Anthropic reconheceu o relatório em maio, mas fechou-o como duplicado de uma issue anterior, sem resolver o código na versão atual), a ação defensiva prioritária é a desativação do modo de automação. Os usuários devem acessar as configurações da extensão e garantir que a opção "Act without asking" (Agir sem perguntar) esteja desmarcada. Isso impede a execução silenciosa, forçando a exibição da caixa de diálogo de aprovação, o que mitiga o cenário de CVSS 9.6, embora não feche o vetor de ataque (CVSS 7.7).
Como a técnica exige que outra extensão toque o DOM do claude.ai, a redução da superfície de ataque envolve a revisão rigorosa de todas as outras extensões instaladas. Extensões com permissões excessivas ou de fonte desconhecida devem ser removidas. A correção técnica proposta por pesquisadores envolve uma simples linha de código para rejeitar cliques sintéticos checando event.isTrusted no início do manipulador de eventos, além de remover a leitura do modo de permissão via URL para evitar a evolução do ataque. Enquanto o *patch* não é lançado, a conscientização sobre o risco de interação entre extensões é a principal defesa.
- Desativar imediatamente a função "Act without asking" nas configurações do Claude for Chrome
- Remover ou desabilitar extensões desnecessárias que tenham permissão para acessar dados em claude.ai
- Manter o navegador e a extensão atualizados (embora o bug persista na v1.0.80, versões futuras podem conter a correção)
- Revisar e limitar os escopos de autorização (OAuth) concedidos à Anthropic e ao Google Workspace
0 Comentários