ClaudeBleed 漏洞分析:Claude Chrome 扩展遭任意扩展劫持 — 2026 AI 安全事件
- 漏洞名称:ClaudeBleed(暂定)
- 影响范围:所有安装了 Claude Chrome 扩展("Claude in Chrome")的用户
- 危害等级:严重 — 任意 Chrome 扩展无需任何权限即可劫持 Claude
- 潜在攻击:窃取 Gmail 邮件、Google Drive 文件、GitHub 私有仓库源码
- 根因:
externally_connectable信任边界设置不当,导致 confused deputy 攻击 - 修复状态:Anthropic 部分修复,LayerX 确认绕过方式仍然有效
一、事件概述
2026 年 5 月 8 日,LayerX 安全研究团队公开披露了一个影响 Anthropic Claude Chrome 扩展的严重安全漏洞。该漏洞被临时命名为 ClaudeBleed,允许任意 Chrome 扩展(即使是没有任何特殊权限的扩展)劫持 Claude 扩展,注入恶意指令,窃取用户数据甚至代表用户执行操作。
LayerX 在报告中指出,Anthropic 在收到漏洞报告后表示已知悉该问题并将在下一版本修复,但最终发布的 v1.0.70 版本仅做了部分修复,并未解决根本原因。研究人员发现将扩展切换至 "privileged mode"(无需用户通知或许可)即可绕过新增的安全检查。
二、漏洞技术细节
2.1 根因:信任边界设置不当
漏洞的根源在于 Claude Chrome 扩展的 manifest.json 中 externally_connectable 配置字段的设置存在缺陷。
externally_connectable 是 Chrome 扩展的一项重要安全特性,用于定义哪些外部网站或扩展可以与当前扩展进行通信。Claude 扩展将其设置为信任 claude.ai 域——但问题在于:它信任的是来源(origin)而非实际执行上下文。
任何运行在 claude.ai 页面内的 JavaScript 代码——包括被其他 Chrome 扩展注入的脚本——都可以向 Claude 扩展发送特权消息。这意味着一个零权限的第三方扩展,只要在 claude.ai 页面上注入了自己的 content script,就能完全控制 Claude 扩展的行为。
// 漏洞简化示意
// Claude 扩展的 manifest.json
{
"externally_connectable": {
"matches": ["https://claude.ai/*"]
}
}
// 问题:任何注入到 claude.ai 页面的脚本
// 都可以通过这个接口与 Claude 扩展通信
2.2 攻击向量:Confused Deputy 攻击
这是一种经典的 confused deputy(困惑代理)攻击模式。Claude 扩展拥有对 Gmail、Google Drive、GitHub 等服务的访问权限(通过 OAuth 或会话),但攻击者通过第三方扩展注入的脚本可以欺骗 Claude 扩展,让它以为指令来自合法的 claude.ai 页面。
攻击链如下:
- 用户安装了一个看似无害的 Chrome 扩展(零权限)
- 该扩展在用户访问 claude.ai 时注入一个 content script
- content script 通过
externally_connectable接口向 Claude 扩展发送恶意指令 - Claude 扩展将恶意指令当作合法用户请求处理
- Claude 的 LLM 执行指令,操纵 Gmail/Drive/GitHub 等第三方服务
2.3 概念验证:LayerX 演示的攻击场景
LayerX 团队利用该漏洞成功实现了以下攻击场景:
- 窃取 Google Drive 文件:从用户的 Google Drive 中提取 "Top Secret" 文件并分享给外部账号
- 发送恶意邮件:以用户身份通过 Gmail 发送邮件
- 窃取 GitHub 源码:从用户的私有 GitHub 仓库中提取源代码
- 邮件窃取与掩盖:汇总最近 5 封邮件内容发送给外部用户,并删除已发送记录
所有这些操作都通过一个没有任何特殊权限的 PoC 扩展完成,无需任何用户交互,无需点击确认按钮。
三、Anthropic 的修复与绕过
- LayerX 向 Anthropic 报告漏洞
- Anthropic 表示已知悉,承诺在下一版本修复
- 发布 v1.0.70 版本,加入了内部安全检查
- LayerX 验证发现:切换到 "privileged mode" 即可绕过修补
- 漏洞至今(2026-05-09)未完全修复
Anthropic 在 v1.0.70 中的修复策略是:保留外部访问接口,但增加了内部安全校验,防止 "standard" 模式下的扩展执行远程指令。然而,LayerX 发现将扩展切换至 "privileged mode"(特权模式)无需通知用户也无需申请权限,切换后即可完全绕过安全检查,恢复之前的攻击能力。
这意味着 Anthropic 的修复没有解决根本问题——信任边界仍然过于宽泛。这暴露了 AI 安全领域一个常见但危险的问题:在追求产品体验和快速迭代的过程中,安全架构设计被放在了次要位置。
四、对用户的潜在影响
ClaudeBleed 漏洞的影响范围极其广泛:
- 任何安装了 Claude 扩展的用户都是潜在受害者,无论他们是否主动使用 Claude
- 攻击者只需诱使用户安装一个看似无害的第三方扩展(比如一个表情包工具、广告拦截器或主题美化扩展)
- 一旦用户同时安装了恶意扩展和 Claude 扩展,且访问了 claude.ai 网站,数据泄露即可发生
- 用户可能完全不知道自己已被入侵——Chrome 扩展的运行对用户来说几乎是透明的
这不仅仅是 Claude 的问题,而是整个 AI 工具生态系统的安全问题。当 AI 助手被授予对用户在线服务的广泛权限时,它们成为了一个诱人的攻击目标。
五、开发者与用户的防护建议
5.1 给 Claude 用户的建议
- 检查已安装的 Chrome 扩展:进入 chrome://extensions/,移除不再使用或不信任的扩展
- 限制 Claude 扩展权限:在 Claude 扩展设置中,不要授予不必要的服务权限
- 关注更新:密切关注 Anthropic 的官方公告,等待完整修复
- 临时替代方案:考虑暂时改用 Claude 的 Web 端(直接访问 claude.ai)而不是通过扩展使用
5.2 给开发者的通用建议
- 严格的 CSP:为扩展设置严格的内容安全策略(Content Security Policy)
- 验证调用方身份:在接收
externally_connectable消息时,验证发送方的具体身份而非仅验证来源 - 最小权限原则:扩展不应该拥有比所需更多的权限
- 用户确认机制:任何涉及敏感操作(读取文件、发送邮件、删除数据)的请求应触发用户确认
5.3 AI 工具开发者的安全清单
ClaudeBleed 暴露的问题对所有 AI 工具开发者都具有警示意义:
- 信任边界设计:明确划分可信与不可信的代码执行环境,不要假设所有来自同一源的消息都是合法的
- 输入验证:对所有外部输入进行严格的验证和清理,包括来自信任源的输入
- 操作确认:跨域敏感操作必须经过用户明确确认,不能被编程绕过
- 安全审计:在发布前进行第三方安全审计,特别是涉及用户数据访问的功能
六、更广泛的行业启示
ClaudeBleed 漏洞是 AI 安全领域的一个典型案例,它揭示了一个正在变得日益严重的问题:AI 工具的安全架构滞后于功能迭代。
2026 年的 AI 助手正在走向"代理化"(Agentic AI)——它们不再是简单的问答工具,而是能够主动执行任务、操作应用程序、访问用户数据的智能代理。与此对应的,是这些代理所拥有的权限也在快速增长。当权限增长的速度超过了安全防护能力的提升速度,漏洞就会不可避免地出现。
类似的安全问题在 AI 生态系统中并不罕见:
- MCP(Model Context Protocol)服务器的权限管理
- AI 编码代理对代码仓库的直接写入权限
- 浏览器扩展与 AI 推理引擎之间的通信安全
随着 AI Agent 越来越多地被集成到日常工作流程中,安全从业者和 AI 开发者需要共同建立更严格的安全标准。ClaudeBleed 不是第一个,也不会是最后一个 AI 安全漏洞。
七、总结
ClaudeBleed(一个由信任边界设置不当导致的 Chrome 扩展劫持漏洞)警告我们:在 AI 快速发展的时代,安全不能成为被牺牲的优先事项。
对用户而言,保持警惕、定期审查扩展权限、关注安全公告是保护自己的基本方法。对开发者而言,将安全视为核心功能的一部分而非事后补救,是构建可信 AI 产品的必要条件。
我们将持续关注 Anthropic 的后续修复进展,并在有更新时补充本文。