Im Zentrum der von Manifold beschriebenen Schwachstellen steht der Mechanismus, mit dem Claude for Chrome vorab genehmigte Aufgaben startet. Zwar hatte Anthropic nach ClaudeBleed den Kreis der von außen an Claude übergebbaren Eingaben eingeschränkt, um die Angriffsfläche zu verkleinern. Nach Darstellung von Manifold prüft die Erweiterung jedoch nicht, ob die auslösende Interaktion tatsächlich von einem realen Nutzer stammt. Dadurch könne eine andere Browser-Erweiterung die Interaktion fälschen und den Ablauf anstoßen.

Laut Manifold lässt sich Claude so dazu bringen, im Namen des Opfers tätig zu werden. Als mögliche Ziele nennen die Forscher Gmail-Nachrichten, Dokumente in Google Docs und Kalendereinträge. In der Standardeinstellung blendet die Erweiterung vor sensiblen Aktionen zwar eine Bestätigungsabfrage ein. Hat ein Nutzer jedoch den autonomeren Modus „Act without asking“ aktiviert, kann die ausgelöste Aktion nach Angaben von Manifold ohne sichtbare Warnung fortgesetzt werden.

Zusätzlich meldete Manifold eine zweite, verwandte Designschwäche. Demnach kann das Seitenpanel von Claude direkt in den Modus ohne Bestätigungsabfrage gestartet werden, und zwar über einen Parameter in der eigenen URL. Dafür sei keine Benutzeraktion erforderlich. Die Forscher betonen allerdings, dass sich dieser Punkt derzeit nicht direkt ausnutzen lasse, weil nur die Erweiterung selbst diese URL erzeugen solle.

Trotzdem wertet Manifold auch diesen Befund als strukturelles Risiko. Falls künftig ein weiterer Fehler auftreten sollte, durch den ein externes Skript beeinflussen kann, wie diese URL zusammengesetzt wird, könnte ein Angreifer nach Einschätzung der Forscher unbemerkt Kontrolle über verbundene Konten eines Nutzers erlangen.

Manifold meldete die Erkenntnisse am 21. Mai an Anthropic, kurz nach der öffentlichen Offenlegung der ClaudeBleed-Forschung. Anthropic habe die Liste vorab genehmigter Aufgaben als erste Abschwächungsmaßnahme gegen ClaudeBleed beschrieben, bis eine vollständige Behebung ausgerollt werde. Manifold erklärt jedoch, dass keine der seitdem veröffentlichten acht Versionen die Schwachstellen sichtbar beseitige. Das gelte auch für die jüngste Version 1.0.80.

SecurityWeek hat Anthropic um eine Stellungnahme gebeten. Eine Antwort des Unternehmens wird im vorliegenden Bericht nicht genannt.