-
09/04/2020
-
141
-
2.028 bài viết
Lỗ hổng Claude for Chrome cho phép truy cập Gmail và Google Docs trái phép
Hai lỗ hổng chưa được vá trong tiện ích mở rộng Claude for Chrome có thể cho phép kẻ tấn công lợi dụng các quyền đã được cấp cho AI để đọc email, truy cập tài liệu và thao tác với lịch làm việc của người dùng Google. Đáng chú ý, theo Manifold Research, các vấn đề này vẫn tồn tại trên phiên bản mới nhất của tiện ích dù đã được báo cáo từ tháng 5/2026.
Theo Manifold Research, lỗ hổng đầu tiên xuất phát từ cách Claude for Chrome xử lý các thao tác nhấp chuột của người dùng. Tiện ích này sử dụng một content script để theo dõi các tương tác trên giao diện và chuyển các lệnh tương ứng tới Claude. Tuy nhiên, thành phần này không kiểm tra thuộc tính event.isTrusted, vốn được trình duyệt sử dụng để phân biệt giữa thao tác do người dùng thực hiện và các sự kiện được tạo ra bằng mã JavaScript. Lỗ hổng này cho phép một tiện ích mở rộng khác có quyền chạy mã trên miền claude.ai giả mạo thao tác người dùng và kích hoạt Claude thực hiện các lệnh được lập trình sẵn. Các nhà nghiên cứu cho biết toàn bộ quá trình khai thác chỉ cần khoảng sáu dòng mã JavaScript.
Mức độ nghiêm trọng của lỗ hổng xuất phát từ việc Claude được cấp quyền truy cập tới nhiều dịch vụ Google của người dùng. Các nhà nghiên cứu cho biết một số lời nhắc được tích hợp sẵn trong tiện ích có thể yêu cầu Claude đọc email trong Gmail, mở tài liệu Google Docs gần nhất để truy xuất bình luận hoặc quét Google Calendar để tạo sự kiện mới. Một khi cơ chế giả mạo thao tác nhấp chuột được khai thác thành công, những tác vụ này có thể bị kích hoạt ngoài ý muốn của người dùng, tạo điều kiện cho việc thu thập dữ liệu hoặc lạm dụng quyền truy cập đã được cấp cho AI Agent.
Trong chế độ mặc định "Ask before acting", người dùng vẫn nhận được yêu cầu xác nhận trước khi Claude thực hiện các tác vụ trên Gmail, Google Docs hoặc Google Calendar. Tuy nhiên, khi tùy chọn "Act without asking" được kích hoạt, những hành động này có thể được thực hiện hoàn toàn tự động và ngoài tầm quan sát của nạn nhân. Manifold đánh giá lỗ hổng có mức độ nghiêm trọng CVSS 9.6, thuộc nhóm nghiêm trọng.
Bên cạnh lỗ hổng giả mạo thao tác nhấp chuột, các nhà nghiên cứu còn phát hiện một cơ chế cho phép Claude bỏ qua quy trình cấp quyền thông thường thông qua tham số URL skipPermissions=true. Khi bảng điều khiển của tiện ích được mở với tham số này, Claude sẽ chuyển sang chế độ hoạt động có đặc quyền cao mà không yêu cầu người dùng xác nhận hoặc cấp quyền lại.
Hiện chưa có dấu hiệu cho thấy lỗ hổng này có thể bị khai thác trực tiếp từ bên ngoài, bởi chỉ tiện ích Claude mới có khả năng tạo URL chứa tham số skipPermissions=true. Tuy nhiên, Manifold cảnh báo đây là một điểm yếu tiềm ẩn nguy hiểm. Chỉ cần xuất hiện thêm một lỗ hổng như XSS, lỗi xử lý thông điệp hoặc sai sót trong cơ chế giao tiếp giữa các thành phần của tiện ích, cơ chế này có thể bị lợi dụng để kích hoạt chế độ đặc quyền và truy cập dữ liệu người dùng mà không cần sự chấp thuận của chủ tài khoản.
Hai lỗ hổng này được xếp vào các nhóm rủi ro LLM01: Prompt Injection và LLM06: Excessive Agency trong OWASP Top 10 for LLM Applications. Đây là những vấn đề thường xuất hiện khi AI có thể bị tác động để thực hiện các hành động ngoài ý muốn hoặc được trao quyền truy cập vượt quá mức cần thiết.
Manifold cho biết đã báo cáo các phát hiện này cho Anthropic từ tháng 5/2026. Hai lỗ hổng này có thể được xử lý bằng cách bổ sung kiểm tra event.isTrusted trước khi thực thi hành động và loại bỏ cơ chế kích hoạt đặc quyền thông qua URL. Tuy nhiên, quá trình kiểm tra lại trên phiên bản Claude for Chrome 1.0.80 phát hành ngày 07/07/2026 cho thấy các thành phần liên quan vẫn chưa được thay đổi kể từ thời điểm báo cáo ban đầu. Điều này đồng nghĩa các kịch bản tấn công được công bố từ tháng 5/2026 vẫn có thể được tái hiện, làm dấy lên lo ngại về khả năng kiểm soát ranh giới tin cậy giữa mã JavaScript của bên thứ ba và các tác vụ có quyền truy cập vào dữ liệu người dùng trong các tiện ích AI trên trình duyệt.