Claude浏览器插件曝严重漏洞,跨站指令注入威胁用户会话安全
据Gate News报道,3月27日,GoPlus安全机构引用Koi研究报告指出,Anthropic公司推出的Claude Chrome扩展程序在1.0.41及更低版本中存在关键性提示词注入缺陷。该漏洞允许远程恶意网页在用户无察觉状态下操控插件行为。
恶意页面可劫持会话,实现隐蔽数据盗取
攻击者可通过伪造的网页环境向用户设备发送精心构造的指令序列,绕过身份验证机制,直接接管当前浏览器会话。一旦成功,即可读取用户与Claude交互的所有敏感内容,包括输入文本、历史对话及上下文信息。
官方建议立即更新并强化链路防护
GoPlus已发布紧急通告,敦促所有使用该插件的用户尽快将版本升级至1.0.41或以上。同时提醒公众提高对可疑链接的识别能力,避免访问来源不明的网站,防止成为漏洞利用的潜在目标。
