Anthropic的Claude Chrome扩展出了大篓子。安全研究员Oren Yomtov直接点明:任何网站只要你点进去,就能无声无息地把恶意提示塞进Claude里,效果跟用户自己打字一模一样。零点击,无需任何权限弹窗。访问页面那一刻,攻击者就完全掌控了你的浏览器。
事情得从两个漏洞链起来说。一个是扩展的origin allowlist太松,任何匹配*.claude.ai的子域名都能往Claude发提示执行。另一个是托管在a-cdn.claude.ai上的Arkose Labs CAPTCHA组件存在DOM-based XSS。攻击者把这个有问题的CAPTCHA组件藏在隐藏iframe里,通过postMessage扔进XSS payload,注入的脚本立刻向扩展发提示。整个过程受害者屏幕上啥都看不见。
Koi Security的报告写得直白:攻击者页面嵌入脆弱组件,发送XSS载荷,脚本触发提示,Claude侧边栏直接当成合法用户请求处理。结果呢?攻击者能偷访问令牌,翻阅对话历史,甚至替你发邮件、要机密数据。想想看,Claude能读你浏览器里的凭证、帮你操作网页,这下全成了攻击面。
漏洞披露时间是2025年12月27日。Anthropic反应还算快,很快给Chrome扩展打了补丁,现在强制要求origin必须精确匹配claude.ai,不能再用子域名糊弄。Arkose Labs那边也在2026年2月19日把XSS修了。补丁落地后,这个零点击路径算堵住了。
但这事暴露的问题远不止一个插件。AI浏览器助手能力越强,越容易成靶子。扩展能导航浏览器、读凭证、代发邮件,本质上就是个自治代理。它的安全强度,只取决于信任边界里最弱的那个origin。以前大家觉得浏览器沙箱够严,现在AI助手把边界拉得越来越大,一处松动就全盘皆输。
加密市场这几天也不太平。BTC现报$69,350(24h -3.14%),ETH现报$2,076(24h -4.85%),整个板块跟着往下走。不少人还在用AI工具辅助交易、写合约、查链上数据,Claude这类插件正好成了顺手工具。可一旦插件被控,攻击者不光能偷聊天记录,还可能让你在不知情下执行危险操作。想象一下,侧边栏突然冒出“帮我转10个SOL到这个地址”,用户没注意就点了确认,后果谁来扛?
类似风险其实不是第一次冒头。AI代理跟真实世界动作绑定越紧,prompt injection的威力就越大。研究员那句点评很扎心:安全只取决于信任边界里最弱的一环。Anthropic这次快速修补值得肯定,但开发者们得记着,未来AI助手会越来越深入浏览器操作,任何域名白名单、组件依赖,都得当成潜在炸弹来审。
用户这边也得醒醒。装了Claude扩展的,赶紧确认版本更新了没。日常浏览时,别轻易信任侧边栏突然跳出的建议,尤其是涉及转账、登录、发邮件的操作。多一层手动确认,少一分被无声劫持的风险。市场波动大,工具好用,但安全底线不能松。插件再智能,也得先管住自己的信任边界。