-
09/04/2020
-
141
-
2.028 bài viết
Lỗ hổng trong Claude for Chrome cho phép truy cập Gmail và Google Docs trái phép
Hai lỗ hổng chưa được vá trong tiện ích mở rộng Claude for Chrome có thể cho phép kẻ tấn công lợi dụng các quyền đã được cấp cho AI để đọc email, truy cập tài liệu và thao tác với lịch làm việc của người dùng Google. Đáng chú ý, theo Manifold Research, các vấn đề này vẫn tồn tại trên phiên bản mới nhất của tiện ích dù đã được báo cáo từ tháng 5/2026.
Theo Manifold Research, lỗ hổng đầu tiên xuất phát từ cách Claude for Chrome xử lý các thao tác nhấp chuột của người dùng. Tiện ích này sử dụng một content script để theo dõi các tương tác trên giao diện và chuyển các lệnh tương ứng tới Claude. Tuy nhiên, thành phần này không kiểm tra thuộc tính event.isTrusted, vốn được trình duyệt sử dụng để phân biệt giữa thao tác do người dùng thực hiện và các sự kiện được tạo ra bằng mã JavaScript. Lỗ hổng này cho phép một tiện ích mở rộng khác có quyền chạy mã trên miền claude.ai giả mạo thao tác người dùng và kích hoạt Claude thực hiện các lệnh được lập trình sẵn. Các nhà nghiên cứu cho biết toàn bộ quá trình khai thác chỉ cần khoảng sáu dòng mã JavaScript.
Theo các nhà nghiên cứu, một số prompt được tích hợp sẵn trong Claude cho phép AI tương tác trực tiếp với Gmail, Google Docs và Google Calendar. Nếu bị kích hoạt trái phép, các prompt này có thể yêu cầu Claude đọc email, truy cập bình luận trong tài liệu hoặc tạo sự kiện mới trên lịch của người dùng.
Trong chế độ mặc định "Ask before acting", người dùng vẫn nhận được yêu cầu xác nhận trước khi Claude truy cập hoặc tương tác với Gmail, Google Docs và Google Calendar. Tuy nhiên, khi tùy chọn "Act without asking" được kích hoạt, các hành động này có thể được thực hiện hoàn toàn tự động mà không xuất hiện thêm bất kỳ cảnh báo nào. Theo Manifold, kịch bản tấn công này được đánh giá ở mức CVSS 9.6.
Lỗ hổng thứ hai liên quan đến cơ chế cấp quyền của Claude thông qua tham số URL skipPermissions=true. Các nhà nghiên cứu phát hiện khi bảng điều khiển của tiện ích được khởi tạo với tham số này, Claude sẽ chuyển sang chế độ hoạt động có đặc quyền cao mà không yêu cầu người dùng xác nhận hoặc cấp quyền lại.
Hiện chưa có dấu hiệu cho thấy lỗ hổng này có thể bị khai thác trực tiếp từ bên ngoài, bởi chỉ tiện ích Claude mới có khả năng tạo URL chứa tham số skipPermissions=true. Tuy nhiên, Manifold cảnh báo đây là một điểm yếu tiềm ẩn nguy hiểm. Chỉ cần xuất hiện thêm một lỗ hổng như XSS, lỗi xử lý thông điệp hoặc sai sót trong cơ chế giao tiếp giữa các thành phần của tiện ích, cơ chế này có thể bị lợi dụng để kích hoạt chế độ đặc quyền và truy cập dữ liệu người dùng mà không cần sự chấp thuận của chủ tài khoản.
Hai lỗ hổng này được xếp vào các nhóm rủi ro LLM01: Prompt Injection và LLM06: Excessive Agency trong OWASP Top 10 for LLM Applications. Đây là những vấn đề thường xuất hiện khi AI có thể bị tác động để thực hiện các hành động ngoài ý muốn hoặc được trao quyền truy cập vượt quá mức cần thiết.
Manifold cho biết đã báo cáo các phát hiện này cho Anthropic từ tháng 5/2026. Theo nhóm nghiên cứu, việc khắc phục không quá phức tạp, chủ yếu xoay quanh việc bổ sung kiểm tra event.isTrusted trước khi thực thi hành động và loại bỏ cơ chế kích hoạt đặc quyền thông qua URL. Tuy nhiên, quá trình kiểm tra lại trên phiên bản Claude for Chrome 1.0.80 phát hành ngày 07/07/2026 cho thấy các thành phần liên quan vẫn chưa được thay đổi kể từ thời điểm báo cáo ban đầu. Điều đó đồng nghĩa những kịch bản tấn công được công bố từ tháng 5 vẫn có thể được tái hiện trên phiên bản mới nhất của tiện ích.
Chỉnh sửa lần cuối: