Claude浏览器扩展惊现零点击XSS漏洞：任意网站可劫持AI助手执行恶意指令

2026年3月26日——网络安全研究人员披露了Anthropic公司Claude Google Chrome扩展中的一个严重漏洞，该漏洞可能被利用来在用户仅访问网页时触发恶意提示注入攻击。

漏洞概述

Koi Security研究员Oren Yomtov在与The Hacker News分享的一份报告中表示，该漏洞允许任何网站像用户自己输入一样，静默地向AI助手注入提示指令。

无需点击，无需权限提示。只需访问一个页面，攻击者就能完全控制你的浏览器。

ShadowPrompt攻击链

这个被命名为ShadowPrompt的安全问题串联了两个底层漏洞：

漏洞1：过度宽松的起源白名单

Claude扩展程序中存在一个过度宽松的起源白名单，允许任何匹配模式（*.claude.ai）的子域名向Claude发送提示以执行。

漏洞2：DOM型XSS漏洞

Arkose Labs托管在a-cdn.claude[.]ai上的CAPTCHA组件中存在一个基于文档对象模型（DOM）的跨站脚本（XSS）漏洞。

攻击机制

扩展程序会将来自白名单域名的提示直接传递到Claude的侧边栏，就像它是合法的用户请求一样。

Yomtov解释道：攻击者的页面将易受攻击的Arkose组件嵌入到一个隐藏的iframe中，通过postMessage发送XSS载荷，注入的脚本随即向扩展程序触发提示指令。受害者完全看不到这一切。

潜在危害

成功利用此漏洞可能允许攻击者：

• 窃取敏感数据（如访问令牌）
• 访问与AI助手的对话历史记录
• 甚至代表受害者执行操作（如冒充他们发送电子邮件、索取机密数据）

修复情况

在2025年12月27日负责任地披露后，Anthropic已向Chrome扩展程序（版本1.0.41）部署了补丁，该补丁强制执行严格的来源检查，要求与域名claude[.]ai完全匹配。Arkose Labs也于2026年2月19日修复了其XSS漏洞。

安全启示

Koi Security指出：AI浏览器助手的能力越强，它们作为攻击目标的价值就越高。一个能够导航你的浏览器、读取你的凭证并代表你发送电子邮件的扩展程序就是一个自主代理。而该代理的安全性仅取决于其信任边界中最弱来源的强度。

来源：The Hacker News
翻译：极客安全网