تحتوي الإصدارات السابقة من إضافة Claude Chrome 1.0.41 على ثغرة حقن كلمات تحذيرية عالية الخطورة، ويجب التحديث فورًا

تحديثات TechFlow العميقة، في 27 مارس، وفقًا لتقرير من GoPlus نقلاً عن Koi، فإن إضافة Chrome الخاصة بـ Claude التابعة لـ Anthropic تحتوي على ثغرة خطيرة في حقن الكلمات المفتاحية، وجميع الإضافات التي إصدارها أقل من 1.0.41 معرضة للخطر.

يمكن للمهاجمين من خلال إنشاء صفحات ويب خبيثة، تحميل iframe يحتوي على ثغرة حقن عبر النصوص عبر المواقع (XSS) بشكل صامت في الخلفية، وتنفيذ حمولة خبيثة داخل النطاق الفرعي a-cdn.claude.ai. وبما أن هذا النطاق الفرعي مدرج ضمن قائمة الثقة الخاصة بالإضافة، يمكن للمهاجمين إرسال كلمات مفتاحية خبيثة مباشرة إلى إضافة Claude وتنفيذها تلقائيًا، دون حاجة لموافقة المستخدم أو أي نقرات، وبدون أن يشعر الضحية.

يمكن أن تؤدي هذه الثغرة إلى تمكن المهاجم من التحكم في إضافة Claude لقراءة مستندات Google Drive الخاصة بالمستخدم، وسرقة رموز الوصول إلى الأعمال، أو تصدير سجلات الدردشة، واستخدام ذلك لسيطرة على جلسة المتصفح الحالية، وتنفيذ عمليات حساسة مثل إرسال البريد الإلكتروني باسم الضحية.

توصي GoPlus المستخدمين بتحديث إضافة Claude فورًا إلى الإصدار 1.0.41 أو أعلى، مع الحذر من روابط التصيد الاحتيالي.