В расширении Claude для Chrome от Anthropic обнаружена критическая уязвимость типа prompt injection, затрагивающая все версии ниже 1.41. По данным ChainCatcher, ссылающегося на исследования Koi и GoPlus, эта уязвимость позволяет злоумышленникам создавать вредоносные веб-страницы, которые незаметно загружают iframe с уязвимостью XSS. Это даёт возможность выполнять вредоносные payload внутри доверенного поддомена a-cdn.claude.ai, позволяя злоумышленникам внедрять и выполнять команды без взаимодействия с пользователем. Данная уязвимость представляет серьёзные риски, включая возможность для злоумышленников читать документы Google Drive, красть бизнес-токены доступа, экспортировать истории чатов и захватывать сессии браузера для выполнения действий, таких как отправка писем от имени жертв. Пользователям настоятельно рекомендуется немедленно обновиться до версии 1.41 или выше и проявлять осторожность при работе с фишинговыми ссылками.