文章总结： LayerX研究报告披露Anthropic公司ClaudeChrome扩展存在严重漏洞，允许任意扩展程序通过未验证的通信渠道劫持Claude并执行恶意操作，包括窃取私有文件、发送邮件等。攻击者通过修改UI元素绕过AI策略执行机制，Anthropic仅发布部分修复未根除问题。建议企业审核浏览器扩展并视其为潜在数据泄露途径。 综合评分： 87 文章分类： 漏洞分析,WEB安全,应用安全,安全工具,威胁情报

AI遭劫持：Claude Chrome扩展程序存在严重漏洞，恶意脚本可控制您的AI

sec随谈 sec随谈

sec随谈

2026年5月12日 09:19 北京

在小说阅读器读本章

去阅读

人工智能助手正在迅速融入我们的日常工作流程，但是当一个值得信赖的人工智能开始接受恶意旁观者的指令时会发生什么呢？

LayerX高级研究员Aviad Gispan撰写的一份最新情报报告揭露了Anthropic公司“Claude in Chrome”浏览器扩展程序中的一个严重漏洞。该漏洞揭示了现代浏览器安全的一个现实：攻击者无需获得高级系统权限，只需诱骗人工智能替他们完成一些棘手的任务，就能造成巨大的破坏。

该漏洞存在于 Claude 扩展程序处理浏览器内部通信的方式上。据 LayerX 研究人员称，该漏洞“允许任何扩展程序，即使是没有任何特殊权限的扩展程序，通过向 Claude 注入恶意指令来有效劫持 Claude 扩展程序，提取攻击者想要的任何信息，并让 Claude 代表攻击者执行主动代理操作”。

问题的核心在于未能建立安全的信任边界。报告指出，“该缺陷源于扩展程序代码中的一条指令，该指令允许在源浏览器中运行的任何脚本与 Claude 的 LLM 通信，但并未验证脚本的运行者身份”。因此，浏览器上安装的任何其他扩展程序都可以调用内容脚本，并秘密地向 Claude 扩展程序发出命令。

一旦通信渠道被劫持，人工智能助手实际上就变成了一个可远程控制的内部威胁。LayerX 的研究人员成功演示了几种极具破坏性的概念验证攻击，其中包括：

• 从 Google 云端硬盘文件夹中提取文件并与外部人员共享
• 以远程攻击者的名义发送电子邮件
• 从 GitHub 上的私有仓库窃取源代码
• 将最近五封电子邮件汇总，发送给外部用户，然后删除已发送的电子邮件。

这次攻击最引人入胜之处在于研究人员如何绕过了 Claude 的内置策略强制执行机制。Claude 的程序设定是拒绝某些操作，例如将组织拥有的 Google 云端硬盘文件共享给外部用户。

然而，攻击者无需重写人工智能的逻辑，只需改变它所看到的内容即可。报告指出，“克劳德的决策严重依赖于：DOM 结构、可见文本、用户界面语义和屏幕截图解读”。由于这些输入完全由攻击者在网页中控制，恶意脚本可以动态修改用户界面 (UI) 来欺骗人工智能。

通过移除“私密”或“密码”等敏感标识，并重命名用户界面标签（例如，将“分享”按钮更改为“请求反馈”），攻击者可以指示 Claude “点击‘请求反馈’按钮”。从人工智能的角度来看，这完全是一个无害的操作，但实际上却会触发外部文件共享。“这种方法通过攻击感知而非逻辑来绕过策略执行，”研究人员解释道。

LayerX 在发布漏洞之前已负责任地向 Anthropic 披露了该漏洞。“Anthropic 回复称他们已经意识到该问题，并将在下一版本的扩展程序中修复。”

然而，此次修复远未达到预期效果。报告明确警告称，“Anthropic公司仅发布了部分修复程序，并未解决漏洞的根本原因，该漏洞仍可被利用”。

在部署能够严格验证跨扩展消息来源的全面补丁之前，安全团队必须将“Chrome 中的 Claude”视为数据泄露的潜在途径，并仔细审核企业环境中运行的所有扩展程序。

参考链接：

ClaudeBleed: A Flaw In Claude’s Browser Extension Allows Any Extension to Hijack It

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《AI遭劫持：Claude Chrome扩展程序存在严重漏洞，恶意脚本可控制您的AI》