Ausgangspunkt ist eine Änderung, die Anthropic nach ClaudeBleed vorgenommen hatte. Damals wurde verhindert, dass Webseiten Claude beliebigen Text übergeben können. Stattdessen akzeptiert die Erweiterung laut Manifold Security nur noch neun fest hinterlegte Aufgabenkennungen aus dem Erweiterungspaket. Drei davon dienen dem Onboarding, drei steuern DoorDash, Salesforce und Zillow, und drei weitere – usecase-gmail, usecase-gdocs und usecase-calendar – betreffen das Lesen von E-Mails, des neuesten Google-Dokuments inklusive Kommentaren sowie des Kalenders.

Das eigentliche Problem liegt laut den Forschern weiter in der Auslösung dieser Aufgaben. Ein Inhaltsskript der Erweiterung wartet auf claude.ai auf einen Klick auf ein bestimmtes Element mit der Kennung #claude-onboarding-button, liest daraus den Wert data-task-id und sendet bei einer erlaubten Aufgabenkennung eine Nachricht zum Öffnen des Seitenpanels. Dort wird dann der passende Prompt geladen. Der Handler prüft dabei nach Angaben von Manifold nicht event.isTrusted, also das Browser-Merkmal, das echte Nutzerklicks von per Skript ausgelösten Klicks unterscheidet.

Dadurch kann jede andere Erweiterung, die auf das DOM von claude.ai zugreifen kann, dieses Element erzeugen, eine erlaubte Aufgabenkennung setzen und einen synthetischen Klick auslösen. Manifold demonstrierte das nach eigenen Angaben mit sechs Zeilen Code in der Konsole von claude.ai; die Protokolle zeigten dabei isTrusted: false, der Klick wurde aber dennoch akzeptiert. Ist die Browser-Steuerung aktiviert, was laut Bericht nach Abschluss des Onboardings der Standard ist, lädt ein solcher gefälschter Klick etwa die Aufgabe usecase-gmail in das Panel.

Im Standardmodus muss der Nutzer dann noch die Freigabe bestätigen. Manifold bewertet die Schwachstelle in diesem Zustand mit CVSS 7.7 als hoch. Wird jedoch „ohne Nachfrage ausführen“ verwendet, läuft dieselbe Aufgabe laut den Forschern ohne jeden Hinweis, was die Bewertung auf CVSS 9.6 kritisch anhebt. Die von Manifold vorgeschlagene Korrektur ist denkbar klein: synthetische Klicks sollen direkt am Anfang des Handlers verworfen werden. Ausgeliefert wurde diese Änderung bislang nicht.

Die zweite Schwachstelle ist nach Darstellung der Forscher derzeit nicht direkt aus der Ferne erreichbar, betrifft aber genau den Mechanismus, der die Freigabeabfrage überspringen würde. Wenn das Seitenpanel mit dem URL-Parameter ?skipPermissions=true startet, wechselt es unmittelbar in skip_all_permission_checks und agiert ohne Nachfrage. Ein roter Warnhinweis erscheint zwar, jedoch erst nachdem die privilegierte Sitzung bereits läuft. Manifold empfiehlt deshalb, den Berechtigungsmodus nicht aus der URL zu lesen und das Panel immer im Nachfragemodus zu starten.

Gemeldet wurden beide Probleme laut Manifold am 21. Mai für v1.0.72. Anthropic bestätigte den Eingang am folgenden Tag und schloss anschließend beide Meldungen. Den Bericht zum gefälschten Klick schloss das Unternehmen laut Quelle mit dem Verweis, das zugrunde liegende Vertrauensgrenzen-Problem sei bereits durch ClaudeBleed erfasst und „bis zu einer vollständigen Behebung weiter offen“. Den URL-Bericht stufte Anthropic demnach als informativ ein, weil der Parameter nur von der Erweiterung selbst gesetzt werde.

Manifold überprüfte später v1.0.80 und fand nach eigenen Angaben den Klick-Handler des Inhaltsskripts und die Initialisierung des Seitenpanels bytegenau unverändert gegenüber v1.0.72. The Hacker News bestätigt nach eigener Analyse von Version 1.0.80 aus dem Chrome Web Store, zuletzt aktualisiert am 7. Juli und für alle zahlenden Abonnenten verfügbar, denselben Befund in allen 90 JavaScript-Bündeln. Für keine der beiden Schwachstellen gab es mit Stand dieses Datums eine CVE-Kennung oder einen Hinweis von Anthropic.