Manifold Security meldte to feil til Anthropic 21. mai, mot versjon 1.0.72. Åtte utgivelser senere, i nyeste versjon 1.0.80 fra 7. juli, hevder selskapet at koden er byte-identisk og at begge feilene fortsatt lar seg reprodusere. Anthropic lukket saken internt som løst.
Hovedfeilen ligger i at content-scriptet lytter etter klikk på et bestemt element og velger ett av ni ferdigskrevne prompt, men aldri sjekker om klikket er ekte (event.isTrusted). En annen utvidelse med tilgang på claude.ai kan dermed forfalske klikket. I standardmodus må du fortsatt godkjenne selve handlingen; med «Act without asking» aktivert kjører den stille.
«Åtte Claude for Chrome-utgivelser senere er omgåelsen fortsatt seks linjer JavaScript. Vi meldte den til Anthropic i mai. Koden er uendret i nyeste versjon.» — Ax Sharma, Manifold Security
Manifold vurderer selv alvorligheten til 7,7 i standardmodus og 9,6 med «Act without asking» på. Anthropic har ikke kommentert de konkrete funnene offentlig, og bekreftet feilene til Manifold som sporet under den opprinnelige rapporten.
Hva bør du gjøre?
- Sett Claude for Chrome til «Ask before acting» i stedet for «Act without asking».
- Gå gjennom andre installerte utvidelser som har tilgang på claude.ai, og fjern dem du ikke stoler på.
- Vurder å deaktivere utvidelsen på kontoer med sensitiv e-post til feilen er bekreftet lukket i koden.