文章总结： AnthropicClaude浏览器扩展存在由两个缺陷串联导致的零点击XSS提示注入漏洞：扩展源白名单机制过于宽松（接受*.claude.ai子域），且其ArkoseLabs验证码组件存在DOMXSS。攻击者可借此在受害者访问恶意网页时静默向Claude注入提示，窃取令牌、对话历史甚至冒充用户操作。Anthropic已于2025年12月收紧域名校验修复，ArkoseLabs于2026年2月修补XSS。建议用户及时更新扩展并关注AI助手信任边界安全。 综合评分： 72 文章分类： 漏洞分析,WEB安全,AI安全,漏洞预警

Claude浏览器扩展漏洞允许通过任意网站实现零点击XSS提示注入

FreeBuf

2026年3月27日 18:11 上海

#

网络安全研究人员披露了Anthropic公司Claude谷歌浏览器扩展中存在的一个漏洞，攻击者只需诱使用户访问特定网页即可触发恶意提示注入。

#

#

Part01

漏洞原理分析

Koi Security研究员Oren Yomtov在提供给The Hacker News的报告中指出：”该漏洞允许任何网站静默地向该AI助手注入提示，就像用户自己输入的一样。无需点击，无需权限提示。只需访问页面，攻击者就能完全控制你的浏览器。”

该漏洞由两个底层缺陷串联形成：

• 扩展程序中存在过于宽松的源白名单机制，允许任何匹配模式(*.claude.ai)的子域向Claude发送执行提示
• 托管在”a-cdn.claude[.]ai”上的Arkose Labs验证码组件存在基于文档对象模型(DOM)的跨站脚本(XSS)漏洞

Part02

攻击实现方式

具体而言，XSS漏洞允许在”a-cdn.claude[.]ai”上下文中执行任意JavaScript代码。攻击者可利用此行为注入JavaScript，向Claude扩展发送提示。而扩展程序仅因请求来自白名单域，就会将提示视为合法用户请求显示在Claude侧边栏中。

Yomtov解释道：”攻击者的页面在隐藏的中嵌入存在漏洞的Arkose组件，通过postMessage发送XSS有效载荷，注入的脚本就会向扩展程序触发提示。受害者完全不会察觉。”

Part03

潜在危害

成功利用此漏洞可使攻击者：

• 窃取敏感数据（如访问令牌）
• 获取与AI Agent的对话历史记录
• 以受害者身份执行操作（如冒充发送邮件、索取机密数据）

Part04

修复进展

在2025年12月27日收到负责任的漏洞披露后，Anthropic为Chrome扩展部署了补丁，强制实施严格的源检查，要求精确匹配”claude[.]ai”域。Arkose Labs也于2026年2月19日修复了其端的XSS漏洞。

Koi Security强调：”AI浏览器助手功能越强大，作为攻击目标的价值就越高。一个能够导航浏览器、读取凭证并代表用户发送邮件的扩展程序，本质上就是一个自主Agent。而该Agent的安全性仅取决于其信任边界中最薄弱的环节。”

参考来源：

Claude Extension Flaw Enabled Zero-Click XSS Prompt Injection via Any Website

https://thehackernews.com/2026/03/claude-extension-flaw-enabled-zero.html

#

#

#

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Claude浏览器扩展漏洞允许通过任意网站实现零点击XSS提示注入》