7月15日、GBHackersが「Critical Claude for Chrome Flaw Lets Malicious Extensions Read Gmail, Google Docs, and Calendar」と題した記事を公開した。AnthropicのChrome拡張機能「Claude for Chrome」に2つの脆弱性が存在し、悪意ある拡張機能によってGmail・Google Docs・Google Calendarへの不正アクセスが可能になるという内容だ。特筆すべきは5月にAnthropicへ報告済みであるにもかかわらず、8回のアップデートを経た2026年7月時点でも未修正であること、そしてCVSSスコアが「Act without asking」モード有効時に最大9.6に達することだ。
攻撃の核心:isTrustedを確認しないクリックハンドラ
問題の根幹は、Claude for Chromeのコンテンツスクリプトにある。このスクリプトは#claude-onboarding-buttonセレクターを持つ要素へのクリックを監視し、クリックイベントを検知するとdata-task-id属性を読み取り、9種類のハードコードされたプロンプトのうちの1つをClaudeのサイドパネルに送信する仕組みだ。
Anthropicは以前のセキュリティ問題を受け、外部からのプロンプト送信をこの許可リストに限定していた。しかしクリックハンドラがブラウザイベントのisTrustedプロパティを検証していないという致命的な欠陥が残っている。
isTrustedとは、ブラウザが実際のユーザー操作(本物のマウスクリック等)に対してtrueをセットするイベントプロパティだ。JavaScriptでプログラム的に生成したイベントではfalseになるため、これを確認すれば合成イベントを排除できる。
Manifold Securityの研究者Ax Sharmaが報告したところによると、claude.aiへのスクリプトアクセス権を持つ拡張機能であれば、以下の手順で攻撃を成立させられる:
- 対象のセレクターに一致するDOM要素を注入する
- 許可された
task-idをその要素に割り当てる - 合成クリックイベントをディスパッチする
Claudeはこの偽のクリックを正規のユーザー操作と誤認し、指定されたタスクを実行する。

許可されたプロンプトがそもそも危険
許可リストに含まれるプロンプトが「無害なオンボーディング用」ではないことも問題を深刻にしている。許可された9種のタスクには以下が含まれる:
- 最近のGmailメッセージの読み取り
- プロモーションメールの識別
- 最新のGoogle Docのコメント閲覧・レビュー
- Googleカレンダーの空き状況確認・会議作成
さらにSalesforce、DoorDash、Zillow等のサービスとも連携できる。
「Act without asking」モードで被害が最大化
Claudeのデフォルト設定「Ask before acting」では、攻撃が発動してもサイドパネルにタスクが表示され、ユーザーの承認が必要となる。被害者が承認しなければ実行には至らない。
しかし「Act without asking」モードを有効にしているユーザーは話が別だ。このモードでは承認ダイアログが表示されず、Claudeが静かにタスクを実行する。データへのアクセスも操作もユーザーが気づかないまま完了する可能性がある。
ManifoldはこのCVSSスコアを、デフォルト設定で7.7、「Act without asking」有効時で9.6と評価している。
第2の脆弱性:URLパラメータによる権限昇格
もう1つの問題は、サイドパネルの初期化ロジックにある。?skipPermissions=trueというURLパラメータを付加してClaudeのサイドパネルを読み込むと、skip_all_permission_checksフラグが有効になり、ユーザーの明示的な操作や同意なしに「Act without asking」モードで起動してしまう。
バージョン1.0.801.0時点では、このサイドパネルURLの構築に拡張機能レベルの権限が必要なため、リモートからの直接悪用はできない。しかしManifoldは、将来的にURL構築の欠陥、同一拡張機能内のXSS、または不適切に公開されたメッセージハンドラが組み合わされば、無人実行のベクターになり得ると指摘している。
修正されないまま8回のアップデートが経過
両脆弱性はOWASPのLLMセキュリティカテゴリにおける「間接プロンプトインジェクション」と「過剰なエージェント権限(Excessive Agency)」に該当する。
- 間接プロンプトインジェクション:ユーザーが直接入力していない外部コンテンツ(今回は合成クリックイベント)を介してLLMに意図しない命令を実行させる攻撃手法。OWASPのLLM Top 10ではLLM02として分類されている
- Excessive Agency(過剰なエージェント権限):LLMエージェントに与えられた権限や実行能力が過剰であり、攻撃者に悪用された場合の影響範囲が不必要に広くなる設計上の問題。同Top 10ではLLM08に分類される
Manifoldは5月にAnthropicへ報告したが、2026年7月7日リリースのバージョン1.0.801.0においても再現可能であり、8回の拡張機能アップデートを経ても問題のコードパスは変更されていないと主張している。
Manifoldが推奨する対策は以下のとおりだ:
- クリックハンドラで
event.isTrustedを確認し、合成イベントを拒否する - URLパラメータによる権限初期化を廃止する
- サイドパネルをデフォルトで承認モードで起動する
- 権限の切り替えをユーザー起点のアクションに限定する
なお、この脆弱性はClaude本体のモデルではなく、ブラウザ拡張機能のトラスト境界の問題であり、モデル選択に依存せず再現が確認されている。元記事末尾に「Fable」というモデル名が言及されているが、Anthropicの公式モデルラインナップ(Opus・Sonnet・Haiku等)に現時点で同名モデルは確認できないため、本記事では該当表記を割愛した。
関連リンク
詳細はCritical Claude for Chrome Flaw Lets Malicious Extensions Read Gmail, Google Docs, and Calendarを参照していただきたい。