網路安全研究人員揭露了 Anthropic 的 Claude Google Chrome 擴充功能中的一個漏洞，該漏洞可能被利用，只需存取一個網頁即可觸發惡意提示。

Koi Security 的研究員 Oren Yomtov 在一份發給 The Hacker News 的報告中表示，該漏洞「允許任何網站悄悄地向瀏覽器助手注入提示訊息，就好像是用戶自己編寫的一樣。無需點擊，無需權限提示。只需存取一個頁面，攻擊者就能完全控制你的瀏覽器。」此問題代號為ShadowPrompt，由兩個根本缺陷所導致：

✔  擴充程式中過於寬鬆的來源允許清單允許任何符合模式 (*.claude.ai) 的子網域向 Claude 發送執行提示。

✔  Arkose Labs CAPTCHA 元件託管在「a-cdn.claude[.]ai」上，存在基於文件物件模型 ( DOM ) 的跨站腳本 ( XSS ) 漏洞。

具體來說，該 XSS 漏洞允許在「a-cdn.claude[.]ai」的上下文中執行任意 JavaScript 程式碼。攻擊者可以利用此行為注入 JavaScript 程式碼，從而向 Claude 擴充功能發出提示。

該擴充功能允許提示訊息出現在 Claude 的側邊欄中，就像它是合法的使用者請求一樣，因為它來自允許清單中的網域。Yomtov解釋說：“攻擊者的頁面將存在漏洞的Arkose組件嵌入到一個隱藏的<iframe>中，通過postMessage發送XSS有效載荷，注入的腳本會向擴展程序發出提示。受害者什麼也看不到。”

成功利用此漏洞可能使攻擊者竊取敏感資料（例如，存取權杖），存取與 AI 代理程式的對話歷史記錄，甚至代表受害者執行操作（例如，冒充受害者發送電子郵件，索取機密資料）。

在2025年12月27日負責任地披露漏洞後，Anthropic公司向Chrome擴展程序（版本1.0.41）發布了補丁，強制執行嚴格的來源檢查，要求域名必須與“claude[.]ai”完全匹配。 Arkose Labs公司已於2026年2月19日修復了其端的XSS漏洞。

Koi說：「人工智慧瀏覽器助理的功能越強大，它們作為攻擊目標的價值就越高。能夠導航瀏覽器、讀取用戶憑證並代表用戶發送電子郵件的擴充功能就是一個自主代理。而該代理的安全性取決於其信任邊界中最薄弱的環節。」