Die entdeckte Sicherheitslücke offenbart grundlegende Designmängel in der Claude-Erweiterung für Chrome. Das Kernproblem liegt in einer unzureichenden Implementierung der Vertrauensbeziehungen zwischen der Erweiterung und Scripts im Browser. Die Claude-Erweiterung überprüft die Herkunft eines Befehls (origin), nicht aber den eigentlichen Ausführungskontext. Dies bedeutet, dass jede beliebige Chrome-Erweiterung – selbst solche ohne spezielle Berechtigungen – in der Lage ist, mit Claude zu kommunizieren und Befehle auszuführen.
LayerX hat gezeigt, dass Angreifer eine bösartige Erweiterung erstellen können, die im sogenannten “Main World” ausgeführt wird und dadurch als Teil der Webseite selbst fungiert. Von dort aus kann sie Nachrichten an die Claude-Erweiterung senden, die diese aufgrund der Vertrauensbeziehung akzeptiert. Ein Content Script mit entsprechend konfigurierten Berechtigungen ermöglicht es dem Angreifer, beliebige Prompts an Claude zu injizieren – eine Technik, die als Remote Prompt Injection bekannt ist.
Partikulär besorgniserregend ist, dass die Sicherheitsforscher mehrere Schutzmechanismen von Claude umgehen konnten. Obwohl die Claude-Plattform Bestätigungen für sensible Aktionen verlangt und bestimmte Handlungen durch Policy-Richtlinien unterbindet, gelang es LayerX, diese Schutzmaßnahmen zu umgehen – indem die Bestätigungsmeldungen wiederholt gesendet und DOM-Manipulation eingesetzt wurde, um UI-Elemente dynamisch zu modifizieren.
Anthropichat das Problem zunächst angegangen und einen Patch bereitgestellt. Allerdings beschränkt sich die Lösung auf interne Sicherheitsprüfungen, die verhindern sollen, dass Erweiterungen im Standard-Modus Remote-Befehle ausführen. LayerX warnt jedoch, dass Angreifer einfach in den “Privileged Mode” wechseln können – ohne dass der Nutzer benachrichtigt oder um Zustimmung gefragt wird. Die Grundursache der Schwachstelle bleibt somit bestehen.
Das Angriffssszenario wiegt schwer: Ein Angreifer könnte Claude dazu missbrauchen, um E-Mails zu versenden, Dateien zu löschen oder Daten aus Gmail, GitHub und Google Drive auszuleiten. Dies stellt für Unternehmen ein erhebliches Risiko dar. Der Vorfall verdeutlicht ein grundsätzliches Dilemma: Während Chrome-Erweiterungen mächtig sind, ist die Sicherheit der Extension-Architektur fragile, wenn vertrauenswürdige Services nachlässig implementiert werden. Nutzer und Unternehmen sollten bis zur endgültigen Behebung der Lücke erwägen, die Claude-Erweiterung zu deinstallieren oder durch die Webversion zu ersetzen.