BTC $62,820.21 -2.96%
ETH $1,829.37 -4.76%
BNB $569.02 -2.32%
XRP $1.08 -2.58%
SOL $74.48 -3.60%
TRX $0.3219 -0.75%
DOGE $0.0717 -3.10%
ADA $0.1587 -3.12%
BCH $222.60 -0.66%
LINK $8.18 -3.81%
HYPE $59.11 -11.33%
AAVE $90.81 -4.87%
SUI $0.7330 -2.74%
XLM $0.1829 -3.19%
ZEC $531.76 -6.34%
BTC $62,820.21 -2.96%
ETH $1,829.37 -4.76%
BNB $569.02 -2.32%
XRP $1.08 -2.58%
SOL $74.48 -3.60%
TRX $0.3219 -0.75%
DOGE $0.0717 -3.10%
ADA $0.1587 -3.12%
BCH $222.60 -0.66%
LINK $8.18 -3.81%
HYPE $59.11 -11.33%
AAVE $90.81 -4.87%
SUI $0.7330 -2.74%
XLM $0.1829 -3.19%
ZEC $531.76 -6.34%

Claude Chrome 扩展的 1.41 以下版本存在高危提示词注入漏洞,须及时升级

2026-03-27 14:24:50
收藏

ChainCatcher 消息,据 GoPlus 援引 Koi 报告,Anthropic 旗下 Claude Chrome 扩展程序存在一个高危提示词注入漏洞,所有低于 1.41 版本的扩展均受影响。

攻击者可通过构造恶意网页,在后台静默加载含跨站脚本(XSS)漏洞的 iframe,并在 a-cdn.claude.ai 子域内执行恶意载荷。由于该子域处于扩展程序的信任白名单内,攻击者可直接向 Claude 扩展下发恶意提示词并自动执行,整个过程无需用户授权或任何点击操作,受害者无感知。

该漏洞可导致攻击者操控 Claude 扩展读取用户 Google Drive 文档、窃取业务访问令牌或导出聊天记录,并可借此接管当前浏览器会话,以受害者身份执行发送邮件等敏感操作。GoPlus 建议用户立即将 Claude 扩展更新至 1.41 或以上版本,同时警惕钓鱼链接。

app_icon
ChainCatcher 与创新者共建Web3世界