Claude Chrome拡張の脆弱性、悪意ある拡張機能の偽クリックでGmailやSalesforceのAI操作を乗っ取れる — 最新版でも修正未完了
DRANK

7月17日、BleepingComputerが「Claude Chrome extension flaw lets malicious extensions trigger AI actions」と題した記事を公開した。AnthropicのChrome拡張機能「Claude for Chrome」に存在する脆弱性により、悪意ある拡張機能が偽のクリックイベントを生成してAIワークフローを不正実行できる問題が報告されている。Anthropicはバグレポートを「対応済み」としてクローズしたにもかかわらず、7月7日リリースの最新版v1.0.80でも問題が再現可能であることが確認されており、その対応姿勢にも疑問が呈されている。GmailやSalesforceといった業務データへの認証済みアクセスが悪用されうる点で、実害のリスクは軽視できない。

by @tf_official
Related Topics: JavaScript AI