Lỗ hổng trong tiện ích Claude cho Chrome cho phép kẻ tấn công chiếm quyền kiểm soát AI Agent

Lỗ hổng trong tiện ích Claude cho Chrome cho phép kẻ tấn công chiếm quyền kiểm soát AI Agent

Một lỗ hổng bảo mật nghiêm trọng mang tên ClaudeBleed đã được phát hiện trong tiện ích mở rộng Claude trên trình duyệt Chrome. Lỗi này cho phép kẻ tấn công chèn lệnh từ xa và thao túng tác nhân AI để đánh cắp dữ liệu người dùng.

Chrome

ClaudeBleed: Lỗ hổng trong cơ chế phân quyền

Theo báo cáo từ công ty bảo mật LayerX, lỗ hổng này xuất phát từ sự kết hợp giữa các quyền hạn quá lỏng lẻo và việc triển khai cơ chế tin cậy không đúng cách trong tiện ích Claude. Vấn đề cốt lõi nằm ở chỗ tiện ích Claude cho phép tương tác với bất kỳ tập lệnh (script) nào đang chạy trên trình duyệt gốc mà không xác minh rõ chủ sở hữu của tập lệnh đó.

"Kết quả là, bất kỳ tiện ích nào cũng có thể gọi một tập lệnh nội dung (content script) không yêu cầu quyền đặc biệt và phát ra lệnh cho tiện ích Claude," LayerX giải thích.

Claude trong Chrome tin vào nguồn gốc thực thi là claude.ai, thay vì kiểm tra ngữ cảnh thực thi. Điều này cho phép bất kỳ mã JavaScript nào chạy trong nguồn gốc đó có thể phát ra các lệnh có quyền ưu tiên.

Cách thức tấn công và tác động

Kẻ tấn công có thể tạo một tiện ích độc hại với một tập lệnh nội dung được cấu hình để chạy trong "Main world" của trình duyệt. Điều này đảm bảo tập lệnh được thực thi như một phần của trang web, cho phép gửi tin nhắn đến tiện ích Claude. Vì tin rằng người gửi đang chạy trong claude.ai, tiện ích chấp nhận các lệnh này.

Do trình xử lý tin nhắn chấp nhận và chuyển tiếp các lệnh (prompt) tùy ý, kẻ tấn công có thể thực hiện chèn lệnh từ xa (remote prompt injection) và kiểm soát hành động của AI agent.

Mặc dù Claude yêu cầu xác nhận của người dùng cho các hành động nhạy cảm, LayerX phát hiện rằng kịch bản của kẻ tấn công có thể vượt qua các biện pháp bảo vệ này. Chúng có thể giả mạo sự phê duyệt của người dùng bằng cách liên tục gửi tin nhắn xác nhận và sử dụng thao tác DOM để sửa đổi động các thành phần giao diện người dùng, thay đổi nhận thức của Claude về các hành động đó.

Security

Chuỗi tấn công này cho phép kẻ tấn công vũ khí hóa Claude để rút ruột dữ liệu từ Gmail, GitHub hoặc Google Drive, cũng như gửi email, xóa dữ liệu và chia sẻ tài liệu thay mặt người dùng.

Phản hồi từ Anthropic

Khi được thông báo về vấn đề này, Anthropic cho biết họ đang triển khai bản vá lỗi. Tuy nhiên, bản sửa lỗi chỉ giải quyết một phần lỗ hổng thông qua "các kiểm tra bảo mật nội bộ để ngăn các tiện ích chạy ở chế độ 'standard' thực thi lệnh từ xa".

Vì nguyên nhân gốc rễ của điểm yếu chưa được giải quyết, kẻ tấn công có thể đơn giản chuyển tiện ích sang chế độ "privileged" (đặc quyền) để vượt qua bản sửa lỗi. Người dùng không bao giờ được thông báo hay được yêu cầu phê duyệt việc chuyển đổi này, theo như LayerX cảnh báo.

Vấn đề này nhấn mạnh sự cần thiết phải thận trọng khi cài đặt các tiện ích trình duyệt, đặc biệt là những tiện ích tương tác với các công cụ AI mạnh mẽ.