Investigadores de ciberseguridad han revelado una vulnerabilidad en la extensión Claude Google Chrome de Anthropic que podría poseer sido explotada para activar mensajes maliciosos simplemente visitando una página web.
La equivocación “permitió que cualquier sitio web inyectara silenciosamente mensajes en ese asistente como si el adjudicatario los hubiera escrito”, dijo el investigador de Koi Security, Oren Yomtov, en un crónica compartido con The Hacker News. “Sin clics, sin solicitudes de permiso. Simplemente visite una página y un atacante controlará completamente su navegador”.
El problema, con nombre en esencia Aviso de sombraencadena dos defectos subyacentes:
- Una directorio de origen demasiado permisiva en la extensión que permitía que cualquier subdominio que coincidiera con el patrón (*.claude.ai) enviara un mensaje a Claude para su ejecución.
- Una vulnerabilidad de secuencias de comandos entre sitios (XSS) basada en el maniquí de objetos de documento (DOM) en un componente CAPTCHA de Arkose Labs alojado en “a-cdn.claude(.)ai”.
Específicamente, la vulnerabilidad XSS permite la ejecución de código JavaScript infundado en el contexto de “a-cdn.claude(.)ai”. Un actor de amenazas podría servirse este comportamiento para inyectar JavaScript que emita un mensaje a la extensión Claude.
La extensión, por su parte, permite que el mensaje llegue a la mostrador supletorio de Claude como si fuera una solicitud de adjudicatario legítima simplemente porque proviene de un dominio incluido en la directorio de permitidos.
“La página del atacante incorpora el componente indefenso Arkose en un circunstancia oculto.
La explotación exitosa de esta vulnerabilidad podría permitir al adversario robar datos confidenciales (p. ej., tokens de entrada), obtener al historial de conversaciones con el agente de IA e incluso realizar acciones en nombre de la víctima (p. ej., expedir correos electrónicos suplantándolos, solicitar datos confidenciales).
Tras la divulgación responsable el 27 de diciembre de 2025, Anthropic implementó un parche en la extensión de Chrome (interpretación 1.0.41) que impone una estricta demostración de origen que requiere una coincidencia exacta con el dominio “claude(.)ai”. Desde entonces, Arkose Labs solucionó la equivocación XSS al final del 19 de febrero de 2026.
“Cuanto más capaces se vuelven los asistentes de navegador de IA, más valiosos son como objetivos de ataque”, dijo Koi. “Una extensión que puede navegar por su navegador, acertar sus credenciales y expedir correos electrónicos en su nombre es un agente autónomo. Y la seguridad de ese agente es tan válido como el origen más débil en su divisoria de confianza”.
