Una vulnerabilidad en la extensión de Claude para Google Chrome permitía a un atacante ejecutar instrucciones arbitrarias en el asistente con solo lograr que la víctima visitara una página web. El fallo, identificado por investigadores de Koi Security, combinaba dos debilidades que, encadenadas, habilitaban un escenario de ataque “zero-click” sin interacción del usuario.

El problema se originaba en la combinación de una lista de orígenes (origin allowlist) demasiado permisiva —que confiaba en cualquier subdominio de *.claude.ai— y una vulnerabilidad de tipo DOM-based XSS en un componente de CAPTCHA de Arkose Labs alojado en a-cdn.claude.ai. Esta combinación permitía que contenido controlado por un atacante fuera interpretado como confiable por la extensión.

En la práctica, esto significaba que un atacante podía inyectar instrucciones directamente en Claude, haciendo que el asistente las ejecutara con el mismo nivel de confianza y permisos que si provinieran del propio usuario. Es decir, el modelo no distinguía entre una orden legítima y una instrucción maliciosa introducida a través del navegador.

El impacto potencial era amplio. Según los investigadores, un atacante podía realizar acciones como robar tokens de acceso de servicios como Gmail, leer contenido de Google Drive, exportar historiales de conversaciones del asistente o incluso enviar correos electrónicos en nombre del usuario. Todo esto podía ocurrir sin clics, sin descargas y sin que aparecieran alertas visibles.

El caso evidencia un riesgo crítico en el ecosistema de las IA: la confianza excesiva en los dominios de origen y la falta de un aislamiento real entre el contenido web y la lógica del asistente. Cuando estos sistemas procesan datos externos sin una validación estricta, la línea entre una web inofensiva y una instrucción maliciosa se borra, permitiendo que un tercero tome el control del flujo de trabajo del usuario.

Este tipo de vulnerabilidades refuerza una preocupación central en seguridad de IA: no basta con proteger el modelo, sino también los entornos en los que opera. En este caso, la interacción entre el navegador, la extensión y servicios externos fue suficiente para convertir una página web en un vector de ataque con capacidades equivalentes a las del propio usuario.

Fuente

https://www.koi.ai/blog/shadowprompt-how-any-website-could-have-hijacked-anthropic-claude-chrome-extension