AnthropicのClaude Chrome拡張機能に重大なプロンプトインジェクションの脆弱性が確認されており、バージョン1.41未満のすべてのバージョンに影響を及ぼしています。ChainCatcherがKoiおよびGoPlusの調査結果を引用して報告したところによると、この脆弱性により攻撃者は悪意のあるウェブページを作成し、XSS脆弱性を持つiframeを密かに読み込ませることが可能になります。これにより、信頼されたa-cdn.claude.aiサブドメイン内で悪意のあるペイロードを実行でき、ユーザーの操作なしにプロンプトを注入・実行することができます。 この脆弱性は重大なリスクをもたらし、攻撃者がGoogleドライブのドキュメントを読み取ったり、ビジネスアクセストークンを盗んだり、チャット履歴をエクスポートしたり、ブラウザセッションを乗っ取って被害者に代わってメールを送信するなどの行為を行う可能性があります。ユーザーは直ちにバージョン1.41以上にアップデートし、フィッシングリンクに対して注意を払うよう強く促されています。