Une vulnérabilité critique d'injection de prompt a été identifiée dans l'extension Claude pour Chrome d'Anthropic, affectant toutes les versions inférieures à la 1.41. Selon ChainCatcher, citant les découvertes de Koi et GoPlus, cette faille permet aux attaquants de créer des pages web malveillantes qui chargent silencieusement un iframe présentant une vulnérabilité XSS. Cela permet l'exécution de charges malveillantes au sein du sous-domaine de confiance a-cdn.claude.ai, autorisant les attaquants à injecter et exécuter des prompts sans interaction de l'utilisateur. Cette vulnérabilité présente des risques importants, notamment la capacité pour les attaquants de lire des documents Google Drive, de voler des jetons d'accès professionnels, d'exporter des historiques de discussion et de prendre le contrôle des sessions de navigateur pour effectuer des actions telles que l'envoi d'e-mails au nom des victimes. Il est fortement conseillé aux utilisateurs de mettre à jour immédiatement vers la version 1.41 ou supérieure et de faire preuve de prudence face aux liens de phishing.