Claude Chrome Extension 0-Click Vulnerability Enables Silent Prompt Injection Attacks
2026/03/27 CyberSecurityNews — Anthropic の Claude Chrome エクステンションに存在していた深刻なゼロクリックの脆弱性により、300万人以上のユーザーがサイレント・プロンプト・インジェクション攻撃に晒されていたことが判明した。この脆弱性は修正済みであるが、攻撃が発生した場合に可能だったのは、ユーザー操作を必要としない AI アシスタントの乗っ取りである。具体的には、Gmail アクセストークンの窃取/Google Drive ファイルの読み取り/チャット履歴のエクスポート/メール送信などが、ユーザーには不可視な状況で実行された可能性がある。
KOI Security により発見されたエクスプロイト・チェーンは、ブラウザの完全な乗っ取りを実現する2つの脆弱性で構成されていた。
1 つ目の脆弱性は、Claude エクステンション内の過度に許可された “origin allowlist” にある。
このエクステンションのメッセージング API は、onboarding_task というメッセージ・タイプを受け付けるが、それによりプロンプト・パラメータが受け入れられ、そのまま Claude に渡されて実行される。
致命的なのは、メッセージ送信元が “*.claude.ai” のサブドメインであることだけを検証していた点であり、このワイルドカード設定が極めて広範であったことにある。
2 つ目の脆弱性はサードパーティ・コンポーネントに存在した。
CAPTCHA 検証のために利用される Arkose Labs のコンポーネントは、”a-cdn.claude.ai” というファーストパーティ・サブドメイン上でホストされていた。このドメインも *.claude.ai に一致するため、エクステンションにより “claude.ai” と同等の完全なメッセージング権限が付与されていた。
さらに、Arkose CDN が旧バージョンの CAPTCHA コンポーネントを、予測可能な URL で配信していることが発見された。この旧バージョンには、DOM ベースの XSS 脆弱性が存在し、これは 2 つの設計ミスの組み合わせにより攻撃が成立していた。
- 1 つ目のミスは、”event.origin” の検証を行わずに、任意の親オリジンからの postMessage データを受け入れていた点である。
- 2 つ目のミスは、ユーザー制御が可能な stringTable フィールドをサニタイズせずに、React の dangerouslySetInnerHTML により生 HTML として描画していた点である。
エクスプロイト・チェーンの全体像
攻撃チェーンは、悪意の Web ページ内の非表示 <iframe> に、脆弱な Arkose コンポーネントを埋め込むことから始まる。
そのページを被害者が閲覧すると、”<img src=x onerror=”…”>” などの HTML インジェクションを含む postMessage ペイロードが、攻撃者のスクリプトにより送信される。このペイロードが、CAPTCHA コンポーネントにより HTML としてレンダリングされ、”a-cdn.claude.ai” のコンテキストで任意の JavaScript が実行される。
その後に、悪意のスクリプトにより chrome.runtime.sendMessage() が呼び出され、攻撃者が制御するプロンプトが Claude エクステンションへと送信される。このエクステンションは、”*.claude.ai” を信頼済みのオリジンと判断するため、サニタイズなしで処理が進められ、Claude によりユーザー入力として実行される。
一連の処理は完全にサイレントで実行される。つまり、クリックは不要であり、許可ダイアログは表示されず、可視的な兆候も存在しない。
Claude エクステンションは、ページ遷移/JavaScript 実行/Web サービス操作が可能な自律型ブラウザ・エージェントとして動作するため、注入されたプロンプトは正規ユーザーと同等の信頼レベルを持つ。
実証された攻撃シナリオに含まれるものには、Google OAuth アクセストークンの窃取/Gmail と Google Drive のコンテンツ読み取り/LLM 会話履歴の流出などがある。
この脆弱性は、2025年12月26日の時点で、HackerOne を介して責任あるかたちで開示された。
それから 24時間以内に、Anthropic は確認とトリアージを実施した。続いて、2026年01月15日には修正を適用したが、その内容はワイルドカード allowlist を廃止することであり、”https://claude.ai” のみを許可する厳格なオリジン検証へと変更されている。
Arkose Labs の XSS 脆弱性に関しては、2026年02月03日の時点で別途報告され、24時間以内での確認の後に、2026年02月19日に完全修正され、該当 URL は 403 レスポンスを返すように変更された。
ユーザーにとって必要なことは、Claude Chrome エクステンションのバージョンが 1.0.41 以上であることを、chrome://extensions の操作により確認することだ。
この攻撃チェーンが示すのは、最も弱い信頼オリジンに依存するセキュリティ境界という、AI ブラウザ・エージェントにおける構造的なリスクである。ファーストパーティ・サブドメイン上に配置されたサードパーティ・コンポーネントが、その意図とは乖離して信頼境界を拡張し、攻撃面を広げてしまう。
AI アシスタントが、ブラウザへのアクセス権を拡張するにつれて、サプライチェーンにおける信頼問題が実際の攻撃ベクターとして悪用され、攻撃者にとっての価値が高まっていく。
訳者後書:Anthropic の Claude Chrome エクステンションに存在していた、極めて深刻なゼロクリックの脆弱性について解説する記事です。この問題の原因は、エクステンションが信頼する通信相手の範囲が ” *.claude.ai” というワイルドカードで過度に広く設定されていたこと、そして、その範囲内に XSS の脆弱性を持つ古いサードパーティ・コンポーネントが配置されていたことの、組み合わせにあります。
攻撃者が用意した悪意の Web ページをユーザーが閲覧すると、そのページ内に隠された <iframe> を通じて、特定のサブドメインでホストされている古い CAPTCHA コンポーネントの脆弱性が突かれます。このコンポーネントには、送られてきたデータを適切に検証せず、そのまま HTML としてレンダリングしてしまう不備がありました。
それにより、本来は安全なはずの Claude のサブドメイン上で、悪意の JavaScript が実行されてしまいます。それにより生じる通信内容を、Claude Chrome エクステンションが “信頼できる Claude からのメッセージ” と誤認して受け入れ、そのままプロンプトとして実行してしまいます。
このようにして、プロンプト・インジェクションが起こるのだと示してくれる、とても貴重な情報だと感じます。よろしければ、Prompt Injection での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.