7月17日、BleepingComputerが「Claude Chrome extension flaw lets malicious extensions trigger AI actions」と題した記事を公開した。AnthropicのChrome拡張機能「Claude for Chrome」に存在する脆弱性により、悪意ある拡張機能が偽のクリックイベントを生成してAIワークフローを不正実行できる問題が報告されている。Anthropicはバグレポートを「対応済み」としてクローズしたにもかかわらず、7月7日リリースの最新版v1.0.80でも問題が再現可能であることが確認されており、その対応姿勢にも疑問が呈されている。GmailやSalesforceといった業務データへの認証済みアクセスが悪用されうる点で、実害のリスクは軽視できない。
Event.isTrustedを確認しない設計が招いた脆弱性
今回の脆弱性を発見したのは、Manifold SecurityのAx Sharmaだ。
問題の核心はシンプルだ。ブラウザは、実際のマウスクリックやキー入力から発生したイベントに対して、Event.isTrustedプロパティをtrueに設定する。一方、JavaScriptで人工的に生成されたイベントは自動的にfalseになる。これはブラウザが「本物のユーザー操作か否か」を区別するための仕組みだ。
しかしClaude for Chrome拡張は、ワークフローを起動するクリックイベントを受け取る際にこのEvent.isTrustedの値を検証していなかった。
攻撃の手順は以下の通りだ:
- 攻撃者が
claude.aiドメイン上でコードを実行できる悪意ある拡張機能をユーザーにインストールさせる - その拡張機能が
claude.aiのページに特定のタスク識別子を含む要素を注入する - JavaScriptで合成クリックイベントを生成・発火する
- Claude拡張がそれを正規のユーザー操作と見なし、AIワークフローを実行する
なお、ここで言う「悪意ある拡張機能」とは、Chrome拡張のContent Scriptと呼ばれる仕組みを悪用してWebページのDOMに干渉するものを指す。Content Scriptは特定ドメイン上でJavaScriptを実行できるため、claude.aiへの権限を持つ拡張機能がインストールされていれば、今回の攻撃が成立する。Claudeの応答を表示するサイドパネル側のハンドラも同様に未検証であることが、Manifoldの調査で確認されている。
悪用できるワークフローは9種類
Claude for Chromeには、外部サービスと連携する以下のような定義済みワークフローが組み込まれている:
- usecase-gmail: 最近のGmailを読み取り、プロモーションメールを特定してunsubscribeをクリック
- usecase-gdocs: 最新のGoogle Docを開き、すべてのコメントとフィードバックを読み取る
- usecase-calendar: Googleカレンダーを読み取り、空き時間を探してミーティングを作成
- usecase-salesforce: Salesforceのリードを修正し、商談に転換する
攻撃対象はこの9種類の定義済みタスクに限定される。任意のプロンプトを注入する「プロンプトインジェクション」攻撃ではない点は重要だが、GmailやSalesforceといった実務に直結するサービスへの認証済みアクセスを悪用できる点で実害のリスクは高い。
実際の影響範囲は、Claudeの設定によって変わる。通常は機密性の高いアクションに対してユーザー確認が求められるが、「Act without asking」設定が有効な場合は、ワークフローが確認なしで自動実行される。
もう一つの発見:skipPermissions=trueパラメータ
Manifold Securityはもう一つの問題も報告している。拡張機能の起動時に使われる内部パラメータskipPermissions=trueが、特定のパーミッションチェックをバイパスするというものだ。
ただしこちらは単独では悪用できず、別の脆弱性と組み合わせて細工されたURLを作成する必要があるため、Anthropicは「情報提供レベル(informational)」として分類した。
「対応済み」クローズと実際の未修正状態というギャップ
両件はManifold SecurityのバグバウンティプログラムをとおしてAnthropicに報告済みだ。Anthropicは合成クリックの問題について「より広い問題として既にトラッキング中」として報告をクローズした。つまりAnthropicの内部管理上は「把握済み・対応中」という扱いになっているが、実際の修正はまだ製品に反映されていない。
Manifoldは7月7日にリリースされた最新バージョン1.0.80でも両問題が再現可能であることを確認している。レポートによれば「引用したコンテンツスクリプトとサイドパネルのハンドラはv1.0.72のソースとバイト単位で同一だ」とのことだ。バグレポートをクローズしながら修正を出荷していないという対応のギャップが、今回の問題をより深刻なものにしている。
前提として攻撃者はまずユーザーに悪意ある拡張機能をインストールさせる必要があり、攻撃の難易度がゼロではない。ただ、ClaudeがGmailやSalesforceといった業務データへの広範なアクセス権を持つ現状では、そのアクセス権を横取りされるリスクは軽視できない。
詳細はClaude Chrome extension flaw lets malicious extensions trigger AI actionsを参照していただきたい。