Falha na extensão do Claude para Chrome permitia controle malicioso da IA

A extensão oficial do Claude para o Google Chrome tinha uma falha que transformava navegação comum em risco de segurança. Na verdade, bastava visitar uma página para que um atacante assumisse o controle do assistente de IA da vítima, injetando comandos como se fossem dela. A vulnerabilidade em cadeia, batizada de ShadowPrompt, foi corrigida na versão 1.0.41 da extensão após divulgação responsável feita em dezembro de 2025. Antrhopic corrigiu falha na extensãoA Anthropic recebeu o relatório de divulgação responsável entre os dias 26 e 27 de dezembro de 2025 e publicou uma correção na versão 1.0.41 da extensão. O componente externo envolvido na cadeia, um CAPTCHA da Arkose Labs hospedado em subdomínio da Anthropic, também foi corrigido em 19 de fevereiro de 2026. Como a cadeia de ataque funcionavaO ShadowPrompt combinava dois problemas distintos para criar um vetor de ataque sem interação do usuário, o que os pesquisadores chamam de zero-click. O primeiro era uma vulnerabilidade de DOM-based XSS no componente de CAPTCHA da Arkose Labs, hospedado em a-cdn. claude. ai. O segundo era um problema de validação de origem na própria extensão do Chrome. Ela aceitava mensagens de qualquer subdomínio correspondente ao padrão *. claude. ai, sem verificação mais restrita. Para executar o ataque, um agente malicioso precisava apenas publicar uma página que carregasse o CAPTCHA vulnerável em um iframe oculto. Via postMessage, o atacante disparava o XSS nesse contexto, executando JavaScript sob a origem a-cdn. claude. ai. Como essa origem se enquadrava no padrão confiável da extensão, o script conseguia enviar um prompt fabricado que o Claude recebia e processava como se tivesse sido digitado pelo próprio usuário. O que um atacante podia fazer após a injeçãoCom a capacidade de injetar prompts arbitrários na extensão autenticada da vítima, os impactos documentados incluem acesso ao histórico de conversas do Claude.