Kjører du Claude for Chrome i standardmodus, «ask before acting», er dette et irritasjonsmoment: en annen utvidelse kan riktignok laste Gmail-oppgaven inn i sidepanelet, men du må selv trykke på godkjenningsboksen før noe leses. Har du derimot skrudd på «Act without asking», kjører den samme oppgaven uten et eneste klikk fra deg. Manifold Security setter hullet til CVSS 7.7 i første tilfelle og 9.6 i det andre.
Mekanismen er beskrevet av The Hacker News, som pakket ut versjon 1.0.80 fra Chrome Web Store og gikk gjennom alle 90 JavaScript-buntene. Etter ClaudeBleed-hullet i april låste Anthropic eksterne kallere til ni faste oppgave-ID-er, og tre av dem leser Gmail, siste Google-dokument og kalenderen din. Selve utløseren ble aldri strammet: et content script lytter etter klikk på et bestemt element på claude.ai, men sjekker aldri event.isTrusted, flagget som skiller et ekte museklikk fra et skriptet ett. Manifold demonstrerte det med seks linjer limt inn i konsollen.
Manifold rapporterte begge funnene 21. mai mot v1.0.72. Anthropic bekreftet dagen etter og lukket dem: forfalsket-klikk-saken fordi tillitsgrensen allerede var sporet i ClaudeBleed-rapporten, som selskapet sa
«forblir åpen i påvente av en fullstendig fiks» — Anthropic, sitert av The Hacker News
Åtte utgivelser senere er koden uendret. Manifold sjekket v1.0.80 den 7. juli og fant klikkhåndtereren byte for byte identisk med den de meldte inn i mai. Det finnes ingen CVE og ingen fiks per 14. juli, og feilen ligger i utvidelsen, ikke i modellen: den reproduserer på Opus, Sonnet og Fable.
Hva bør du gjøre?
- Slå av «Act without asking». Det gir deg godkjenningsboksen tilbake, men fjerner ikke det forfalskede klikket.
- Gå gjennom utvidelsene som har tillatelse til å lese eller endre data på claude.ai. Én utvidelse med DOM-tilgang er nok.
- Behandler du en KI-agent i nettleseren som en innlogget bruker med dine rettigheter, ikke som et lesevindu, tar du de riktige avgjørelsene om hva den får lov til.