你有没有想过,一个和你常用的AI助手绑定的浏览器扩展,可能被另一个流氓扩展利用,悄悄读取你的邮件、文档和日程?这不是假设,安全研究人员发现,即使在Anthropic针对上一轮漏洞做出限制之后,Claude for Chrome的当前版本(1.0.80)依然存在这样的攻击路径。

这场争论的分界线很清晰。一部分人认为,Anthropic在五月已经堵住了最危险的缺口——任意提示注入。现在,页面无法再随心所欲地让Claude执行任意指令,外部调用被严格限定在九个固定的任务ID里。其中包括三个入职引导任务,三个分别对应DoorDash、Salesforce和Zillow的集成,以及三个会读取你Gmail、最新Google文档及其评论、日历的任务。白名单是一种切实的改进,它确保了攻击者不能把任意恶意文字塞进Claude的“嘴”里。

打开网易新闻 查看精彩图片

但另一方的观点直指弱点所在:触发机制本身。问题的核心在于,扩展的内容脚本只监听claude.ai页面上的一个特定元素(#claude-onboarding-button)被点击,然后读取该元素的data-task-id属性,只要属于那九个允许的任务之一,就会发送open_side_panel信息并加载对应提示。然而,这个处理器从未检查event.isTrusted这一浏览器标志——它用以区分真正的用户点击和脚本派发的合成事件。结果是,任何能在claude.ai上运行脚本的扩展,都可以用六行代码构造这个元素,设定任务ID,并派发一个虚假点击,让Claude for Chrome将其当作真实操作接受。安全团队Manifold Security在控制台复现时,日志明确显示isTrusted为false,伪造的点击被照单全收。

由此引发的风险等级取决于用户的选择。在默认的“执行前询问”模式下,伪造点击把读取邮件的任务加载到侧边栏后,还会弹出一个需要用户手动点击的确认框。研究者将这个状态下的漏洞评为CVSS 7.7高危。但一旦用户开启了“无需询问即可执行”的免手动模式,同样的任务便会毫无提示地静默运行,重复读取你最新的Gmail、Google文档和日历信息,评分飙升至9.6危急级别。

综合来看,白名单限制确实缩小了损害范围,但那条关键的触发路径仍然敞开着,而修复方案理论上只是一行代码——拒绝isTrusted为假的点击事件。截至7月14日,官方尚未发布补丁。因此,最直接的防护措施是关闭“无需询问即可执行”并重新审查所有有权在claude.ai上读取或更改数据的扩展,但这只能恢复确认步骤,无法消除伪造点击触发的可能。在底层修复到来之前,你授予claude.ai的权限,可能已经被你不熟悉的另一个扩展悄悄共享。