کمیته رکن چهارم – پژوهشگران امنیت سایبری هشدار دادهاند که دو آسیبپذیری مهم در افزونه Claude for Chrome همچنان برطرف نشده و میتواند راه را برای سوءاستفاده از حسابهای کاربری و دسترسی به اطلاعات سرویسهای گوگل باز کند.
به گزارش کمیته رکن چهارم، به نقل از The Hacker News، این آسیبپذیریها به افزونههای دیگر مرورگر اجازه میدهند در صورت داشتن مجوز اجرا روی claude.ai، برخی قابلیتهای Claude را بدون اطلاع کاربر فعال کنند. در صورت فعال بودن گزینه Act without asking، این عملیات حتی بدون نمایش پیام تأیید نیز انجام میشود.
بررسی پژوهشگران نشان میدهد این ضعف امنیتی همچنان در جدیدترین نسخه افزونه (۱.۰.۸۰) وجود دارد. مهاجمان میتوانند با ایجاد کلیکهای جعلی، وظایفی مانند دسترسی به جیمیل، آخرین سند Google Docs و تقویم Google را فعال کنند.
به گفته پژوهشگران، راهکار موقت برای کاهش خطر، غیرفعال کردن گزینه Act without asking و بررسی افزونههایی است که مجوز دسترسی به claude.ai را دارند. با این حال، تاکنون Anthropic هیچ اصلاحیه امنیتی رسمی برای این دو آسیبپذیری منتشر نکرده است.



