B
今週中
Anthropic社のClaude Chrome拡張機能に、他のプラグインからAIを操作できる脆弱性
📌 一言でいうと
Anthropic社のClaude Chrome拡張機能に、他のプラグインからAIを操作できる脆弱性が発見されました。この欠陥により、攻撃者はユーザーの確認を回避してClaudeに命令を出し、Googleドライブからファイルを抽出して外部に送信するといった操作が可能です。原因は拡張機能のコードがスクリプトの送信元を検証していないことにあります。
🔍該当判定
- Google Chromeブラウザで、Anthropic社が提供する『Claude』の公式拡張機能をインストールして利用している
- Claudeの拡張機能を利用し、かつGoogleドライブなどのGoogleツールと連携させて操作させている
- 社内で複数のChrome拡張機能を併用しており、Claude拡張機能と同時に有効化している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Claude Chrome拡張機能の最新バージョンへの更新を確認し、信頼できないサードパーティ製ブラウザ拡張機能のインストールを制限すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ブラウザ拡張機能(Claude AI)の利用に関するご注意
お疲れさまです。情報システム担当です。
AIアシスタント「Claude」のChrome拡張機能において、他の悪意あるプラグインから操作される可能性がある脆弱性が報告されました。
ご協力をお願いしたいこと:
1. ブラウザの拡張機能管理画面から、Claude拡張機能が最新の状態であるか確認してください。
2. 出所が不明な、または信頼できないブラウザ拡張機能のインストールを控えてください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
AIアシスタント「Claude」のChrome拡張機能において、他の悪意あるプラグインから操作される可能性がある脆弱性が報告されました。
ご協力をお願いしたいこと:
1. ブラウザの拡張機能管理画面から、Claude拡張機能が最新の状態であるか確認してください。
2. 出所が不明な、または信頼できないブラウザ拡張機能のインストールを控えてください。
対応期限: 本日中
Subject: [Security Alert] Important Notice Regarding Claude AI Chrome Extension
Hi everyone,
A vulnerability has been reported in the Claude AI Chrome extension that could allow other malicious plugins to control the AI agent.
Requested Actions:
1. Please ensure your Claude Chrome extension is updated to the latest version.
2. Avoid installing browser extensions from untrusted or unknown sources.
Deadline: End of day
Hi everyone,
A vulnerability has been reported in the Claude AI Chrome extension that could allow other malicious plugins to control the AI agent.
Requested Actions:
1. Please ensure your Claude Chrome extension is updated to the latest version.
2. Avoid installing browser extensions from untrusted or unknown sources.
Deadline: End of day
件名: 【共有】Anthropic Claude Chrome拡張機能の脆弱性対応について
お疲れさまです。Claude Chrome拡張機能における権限検証不備に関する情報共有です。
■ 概要
拡張機能のコードが通信スクリプトの送信元を検証していないため、他の任意のプラグインがClaude LLMに命令を送信できる脆弱性がLayerX社により報告されました。これにより、ガードレールの回避やGoogle Drive等の他サービスへの不正操作(ファイルの抽出・共有)が可能です。
■ 影響範囲
- Anthropic Claude Chrome Extension 利用ユーザー
■ 対応手順
1. 利用ユーザーに対し、拡張機能の最新版へのアップデートを強制または推奨する。
2. 組織のポリシーで、未承認のブラウザ拡張機能のインストールを制限する(Allowlist方式の検討)。
■ 参考情報
- Cyberscoop / LayerX Research
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Claude Chrome拡張機能における権限検証不備に関する情報共有です。
■ 概要
拡張機能のコードが通信スクリプトの送信元を検証していないため、他の任意のプラグインがClaude LLMに命令を送信できる脆弱性がLayerX社により報告されました。これにより、ガードレールの回避やGoogle Drive等の他サービスへの不正操作(ファイルの抽出・共有)が可能です。
■ 影響範囲
- Anthropic Claude Chrome Extension 利用ユーザー
■ 対応手順
1. 利用ユーザーに対し、拡張機能の最新版へのアップデートを強制または推奨する。
2. 組織のポリシーで、未承認のブラウザ拡張機能のインストールを制限する(Allowlist方式の検討)。
■ 参考情報
- Cyberscoop / LayerX Research
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Vulnerability in Anthropic Claude Chrome Extension
Dear Security Team,
This is a technical briefing regarding a vulnerability in the Claude Chrome extension discovered by LayerX.
■ Overview
Due to a lack of origin verification for scripts communicating with the LLM, any other browser extension can invoke content scripts to issue commands to Claude. This allows attackers to bypass safety guardrails and perform unauthorized cross-site actions, such as extracting files from Google Drive.
■ Scope
- Users of the Anthropic Claude Chrome Extension
■ Mitigation Steps
1. Ensure all users are running the latest version of the extension.
2. Implement or tighten browser extension policies to restrict the installation of untrusted plugins.
■ Reference
- Cyberscoop / LayerX Research
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical briefing regarding a vulnerability in the Claude Chrome extension discovered by LayerX.
■ Overview
Due to a lack of origin verification for scripts communicating with the LLM, any other browser extension can invoke content scripts to issue commands to Claude. This allows attackers to bypass safety guardrails and perform unauthorized cross-site actions, such as extracting files from Google Drive.
■ Scope
- Users of the Anthropic Claude Chrome Extension
■ Mitigation Steps
1. Ensure all users are running the latest version of the extension.
2. Implement or tighten browser extension policies to restrict the installation of untrusted plugins.
■ Reference
- Cyberscoop / LayerX Research
Priority: High
Deadline: Immediate