Falha no Claude para Chrome permite controlo da IA

Uma vulnerabilidade na extensão Claude para o Chrome pode permitir que os atacantes assumam o controlo do agente de Inteligência Artificial (IA) e utilizem a ferramenta para furto de dados e execução de ações maliciosas em nome dos utilizadores.

A falha, identificada pela empresa de cibersegurança LayerX e denominada ‘ClaudeBleed’, resulta da combinação de permissões excessivamente permissivas e de uma implementação inadequada dos mecanismos de confiança da extensão.

Segundo os investigadores, qualquer extensão do Chrome consegue executar comandos no Claude sem necessitar de permissões especiais, explorando a confiança da extensão no domínio ‘claude.ai’ em vez de validar o contexto real de execução.

“A extensão Claude permite interação com qualquer script em execução no browser sem verificar a sua origem efetiva”, explica a LayerX. A vulnerabilidade permite que uma extensão maliciosa envie comandos diretamente ao Claude, levando o agente de IA a executar ações privilegiadas.

Os investigadores demonstraram que é possível realizar ataques de prompt injection remota, manipulando o comportamento do Claude para aceder a informação sensível ou executar operações em nome do utilizador. Entre as ações possíveis estão o acesso e exfiltração de dados de serviços como Gmail, GitHub ou Google Drive, envio de emails, eliminação de ficheiros e partilha de documentos.

Apesar de o Claude incluir mecanismos de confirmação para ações sensíveis, a LayerX conseguiu contornar essas proteções através de manipulação dinâmica da interface e envio repetido de mensagens de aprovação.

A empresa alerta que esta falha compromete o próprio modelo de segurança das extensões do Chrome. “Esta vulnerabilidade quebra efetivamente o modelo de segurança das extensões do Chrome ao permitir que uma extensão sem permissões herde as capacidades de um assistente de IA confiável”, refere a LayerX.

A Anthropic, empresa responsável pelo Claude, foi notificada da vulnerabilidade e implementou uma mitigação parcial baseada em verificações adicionais para extensões em modo standard.

No entanto, segundo os investigadores, a causa principal da falha não foi totalmente resolvida, sendo possível contornar a mitigação através da alteração da extensão para modo privileged, sem qualquer notificação ou aprovação do utilizador.

A LayerX recomenda que utilizadores e organizações revejam cuidadosamente as extensões instaladas nos browsers e limitem o uso de extensões de terceiros em ambientes críticos.