Anthropic'in Claude Chrome uzantısında, 1.41 sürümünün altındaki tüm versiyonları etkileyen kritik bir prompt enjeksiyonu açığı tespit edildi. ChainCatcher'ın, Koi ve GoPlus'un bulgularına atıfta bulunarak belirttiğine göre, bu zafiyet saldırganların XSS açığı içeren bir iframe'i sessizce yükleyen kötü amaçlı web sayfaları oluşturmasına olanak tanıyor. Bu, saldırganların güvenilir a-cdn.claude.ai alt alanında kötü amaçlı kodları çalıştırmasını ve kullanıcı etkileşimi olmadan promptları enjekte edip yürütmesini sağlıyor. Bu zafiyet, saldırganların Google Drive belgelerini okuma, iş erişim tokenlarını çalma, sohbet geçmişlerini dışa aktarma ve tarayıcı oturumlarını ele geçirerek kurbanlar adına e-posta gönderme gibi işlemler yapma yeteneği gibi ciddi riskler barındırıyor. Kullanıcıların derhal 1.41 veya daha yüksek sürüme güncelleme yapmaları ve oltalama bağlantılarına karşı dikkatli olmaları tavsiye ediliyor.