Các nhà nghiên cứu an ninh mạng vừa công bố một lỗ hổng bảo mật đáng lo ngại trên tiện ích mở rộng của Anthropic Claude dành cho trình duyệt Google Chrome. Lỗ hổng này mở đường cho các tác nhân độc hại kích hoạt những câu lệnh bất chính xâm nhập hệ thống của người dùng chỉ thông qua thao tác đơn giản là truy cập vào một trang web bất kỳ.

Cuộc tấn công này là sự kết hợp tinh vi giữa hai lỗ hổng bảo mật nền tảng:

  • Cấu hình Allowlist lỏng lẻo: Tiện ích Claude cho phép mọi tên miền phụ khớp với mẫu (*.claude.ai) gửi lệnh thực thi. Đây là kẽ hở lớn trong ranh giới tin cậy (trust boundary) của ứng dụng.
  • Lỗ hổng DOM-based XSS: Tồn tại trong thành phần CAPTCHA của Arkose Labs được lưu trữ tại a-cdn.claude[.]ai. Kẻ tấn công lợi dụng lỗi này để thực thi mã JavaScript tùy ý trong ngữ cảnh của một tên miền vốn dĩ nằm trong “danh sách trắng” của Anthropic.

Điểm tinh vi nhất của ShadowPrompt là khả năng thực thi mà không cần bất kỳ tương tác nào từ phía người dùng (No clicks, no permissions):

  • Nhúng mã độc âm thầm: Trang web độc hại nhúng thành phần Arkose bị lỗi vào một thẻ <iframe> ẩn, sau đó gửi tệp tin thực thi (payload) XSS qua cơ chế postMessage.
  • Thực thi lệnh giả mạo: Đoạn mã được tiêm vào sẽ kích hoạt câu lệnh gửi tới tiện ích mở rộng. Vì nguồn gửi đến từ domain tin cậy, tiện ích sẽ chấp nhận lệnh này và hiển thị trong thanh bên (sidebar) như một yêu cầu hợp lệ của chính người dùng.
  • Hệ quả nghiêm trọng: Kẻ tấn công có thể đánh cắp Access Tokens, truy cập lịch sử trò chuyện nhạy cảm hoặc giả mạo nạn nhân để gửi email và yêu cầu dữ liệu mật từ các hệ thống khác.

Khuyến nghị và Biện pháp khắc phục từ các chuyên gia bảo mật 

Để đảm bảo an toàn trước các cuộc tấn công nhắm vào Autonomous Agents, người dùng và tổ chức cần thực hiện ngay các biện pháp sau:

  • Cập nhật khẩn cấp: Cập nhật tiện ích Claude trên Chrome lên phiên bản 1.0.41 trở lên. Bản vá này áp dụng quy tắc kiểm tra nguồn gốc nghiêm ngặt, yêu cầu khớp chính xác tên miền claude[.]ai.
  • Rà soát hệ thống: Kiểm tra các dấu hiệu truy cập bất thường từ các tên miền phụ lạ hoặc các yêu cầu postMessage không xác định trong lịch sử trình duyệt.
  • Nâng cao cảnh giác: Các trợ lý AI tích hợp sâu vào trình duyệt có quyền đọc thông tin đăng nhập và điều hướng thay mặt người dùng, do đó tính bảo mật của chúng cần được ưu tiên hàng đầu trong chiến lược phòng thủ chiều sâu của doanh nghiệp.  

Nguồn: The Hacker News