Ausgangspunkt der Analyse ist die Art, wie die Claude-Erweiterung erkennt, ob ein Nutzer eine ihrer integrierten Aufgaben absichtlich gestartet hat. Wie Manifold Security berichtet, lauscht die Erweiterung auf Klick-Ereignisse an einem bestimmten Seitenelement, das einen der eingebauten KI-Arbeitsabläufe startet. Diese Arbeitsabläufe sind vordefinierte Aufgaben, mit denen Claude in verbundenen Diensten wie Gmail, Google Docs, Google Calendar und Salesforce Aktionen ausführen kann.
Browser-Erweiterungen mit Berechtigung zur Ausführung auf einer Website können JavaScript in Seiten einschleusen und dadurch Inhalte lesen und verändern. Dazu gehört auch, Seitenelemente zu manipulieren, angezeigte Informationen auszulesen und Klick- oder Tastaturereignisse programmatisch zu erzeugen. Genau daran setzt der von Manifold beschriebene Angriff an.
Nach Angaben der Forscher akzeptierte die Claude-Erweiterung per JavaScript erzeugte Klicks, ohne zu prüfen, ob sie von einem echten Nutzer stammen. Normalerweise kennzeichnet der Browser reale Eingaben wie Mausklicks oder Tastendrücke über die Eigenschaft Event.isTrusted als vertrauenswürdig. Werden Ereignisse dagegen per JavaScript erzeugt, setzt der Browser Event.isTrusted automatisch auf „false“. Laut Manifold Security hat die Claude-Erweiterung diese Eigenschaft vor dem Start eines ihrer vordefinierten Arbeitsabläufe jedoch nicht überprüft.
Stattdessen konnte eine bösartige Erweiterung mit Berechtigung zur Inhaltsmanipulation auf der Domain claude.ai nach Darstellung von Sharma ein Seitenelement mit einer von neun unterstützten Aufgabenkennungen einschleusen und anschließend ein synthetisches Klick-Ereignis erzeugen. Obwohl der Browser das Ereignis korrekt als nicht vertrauenswürdig markierte, behandelte die Claude-Erweiterung es dem Bericht zufolge wie einen legitimen Nutzerklick und führte die angeforderte KI-Aktion aus.
Manifold betont dabei auch die Grenzen des Problems. Die Schwachstelle ermöglicht keine beliebige Prompt-Injection, sondern ist auf die neun fest eingebauten Aufgaben der Erweiterung beschränkt. Ebenso kann eine Website die Claude-Erweiterung nicht direkt kompromittieren. Voraussetzung ist vielmehr, dass Angreifer Nutzer dazu bringen, eine bösartige Erweiterung zu installieren, die Code auf claude.ai ausführen darf. Erst diese Erweiterung kann dann die Webseite manipulieren und die Claude-Arbeitsabläufe auslösen.
Die Forscher verweisen darauf, dass eine bösartige Browser-Erweiterung zwar ohnehin weitreichenden Zugriff auf die Seiten hat, auf denen sie laufen darf. Durch die Schwachstelle könne sie aber zusätzlich Claudes authentifizierten Zugriff auf verschiedene verbundene Dienste missbrauchen. Wie weit das reicht, hängt laut Manifold von der Konfiguration der Claude-Erweiterung ab und davon, ob Nutzer sensible Aktionen bestätigen müssen oder die optionale Funktion „Ohne Nachfrage handeln“ aktiviert haben, die vordefinierte Arbeitsabläufe automatisch ausführt.
In einer zweiten Beobachtung identifizierten die Forscher außerdem einen internen Parameter „skipPermissions=true“, der bestimmte Berechtigungsprüfungen beim Start der Erweiterung umging. Zugleich halten sie fest, dass dieser Mechanismus für sich genommen nicht direkt ausnutzbar sei und eine weitere Schwachstelle nötig wäre, um eine speziell präparierte URL zu erzeugen.
Manifold meldete beide Befunde über das Bug-Bounty-Programm an Anthropic. Das Unternehmen bestätigte die Berichte und schloss den Bericht zu den synthetischen Klicks mit dem Hinweis, das Problem werde bereits als übergeordnete Schwachstelle verfolgt. Der zweite Befund rund um „skipPermissions=true“ wurde als rein informativ eingestuft. Nach Angaben von Manifold sind beide Probleme in der neuesten Version 1.0.80 der Browser-Erweiterung, veröffentlicht am 7. Juli, weiterhin ausnutzbar. Wörtlich heißt es im Bericht, Manifold habe am 7. Juli verifiziert, dass beide Befunde in Version 1.0.80 weiterhin reproduzierbar seien; die von den Forschern angeführten Handler für Content-Skripte und das Seitenpanel seien byte-identisch mit dem Quellcode aus Version 1.0.72.
