Immagina di navigare sul web e, senza cliccare nulla, un sito malevolo prende il controllo del tuo assistente AI Claude installato come estensione Chrome. Questo scenario terrificante è diventato realtà per oltre 3 milioni di utenti grazie a una vulnerabilità zero-click ora corretta. La buona notizia? Aggiorna subito la tua estensione alla versione 1.0.41 o superiore controllando su chrome://extensions per proteggerti immediatamente.
Questa falla ha permesso attacchi prompt injection silenziosi, dove siti ostili hijackano l’AI senza interazione utente, accedendo a dati sensibili come token di accesso Gmail, contenuti di Google Drive, cronologia chat e persino inviando email invisibilmente. Non aspettare: verifica e aggiorna ora per evitare rischi inutili.
Come è successo: il contesto semplice
L’estensione Chrome di Claude, progettata per rendere l’AI un agente autonomo nel browser – capace di navigare pagine, eseguire JavaScript e interagire con servizi web – si è rivelata un vettore di attacco pericoloso. Siti malevoli sfruttavano una combinazione di errori per iniettare comandi direttamente in Claude, come se li avesse digitati l’utente stesso. Tutto avveniva in background, senza avvisi o richieste di permesso.
Gli scenari dimostrati includevano furto di token OAuth persistenti di Google, lettura di email e file su Drive, esportazione di conversazioni con l’LLM. Un vero takeover del browser, silenzioso e devastante.
Cosa fare subito:
- Apri chrome://extensions.
- Cerca Claude e verifica la versione.
- Se inferiore a 1.0.41, aggiorna manualmente.
- Considera di revocare permessi extra se non necessari.
Questa vicenda evidenzia i pericoli crescenti degli agenti AI nel browser: più potere danno, più alti i rischi se la sicurezza non è blindata.
Impatti e lezioni apprese
Oltre 3 milioni di installazioni esposte significano un’enorme superficie di attacco. Attaccanti potevano trasformare visite innocue su pagine web in brecce catastrofiche. La patch, deployata rapidamente, ha ristretto i controlli di origine, ma serve vigilanza continua.
Per gli utenti everyday, il messaggio è chiaro: le estensioni AI non sono giocattoli. Concedono privilegi enormi – accesso a tab, dati sensibili, automazioni – e una sola falla le rende armi a doppio taglio. Usa sempre le ultime versioni, limita i permessi e monitora attività sospette.
Nelle AI agentiche come Claude, il confine tra aiuto e minaccia è sottile. Siti malevoli embeddano iframe nascosti che attivano catene di exploit, rendendo ogni navigazione un potenziale campo minato.
Evoluzione della sicurezza AI
Man mano che tool come Claude evolvono – navigando autonomamente, analizzando pagine, producendo report – i vendor devono prioritizzare supply chain security. Componenti third-party, subdomini fidati e API permissive amplificano i rischi. Utenti, d’altra parte, devono adottare abitudini proattive: audit regolari, modalità “chiedi conferma” e blocchi su categorie ad alto rischio come finanza o adult.
Questa vulnerabilità non è isolata. Ricerche recenti su estensioni desktop Claude rivelano pattern simili: dati low-risk (es. eventi calendar) propagati a contesti high-risk senza barriere, portando a RCE zero-click. Vendor come Anthropic stanno rinforzando difese contro prompt injection, riducendo tassi di successo da oltre 20% a meno del 12%, ma resta un lavoro in corso.
Consigli pratici per la sicurezza:
- Attiva “Chiedi prima di agire” nelle impostazioni Claude.
- Blocca categorie rischiose: finanza, adult, pirateria.
- Usa estensioni solo su siti approvati.
- Monitora permessi e revoca regolarmente.
Con oltre 10.000 utenti attivi in estensioni simili esposte, la lezione è universale: fiducia implicita uccide la sicurezza.
Approfondimento tecnico
Catena di exploit completa: La vulnerabilità combinava due flaw distinte per un takeover browser totale.
Allowlist permissiva nell’estensione Claude: L’API di messaging accettava tipo “onboarding_task” con parametro prompt, forwardato direttamente a Claude. Validazione solo su origini ***.claude.ai** – un wildcard troppo ampio.
XSS DOM-based in componente third-party: Anthropic usa Arkose Labs per CAPTCHA, hostato su a-cdn.claude.ai (matching il wildcard). Vecchie versioni di componenti CAPTCHA, accessibili via URL prevedibili (bruteforce version numbers), contenevano XSS da due errori:
- Accettazione postMessage da qualsiasi origin senza check event.origin.
- Rendering di stringTable user-controlled come HTML raw via React’s dangerouslySetInnerHTML, senza sanitization.
Exploit passo-passo:
- Attaccante embedda iframe nascosto con vulnerable Arkose component su pagina malevola.
- Vittima visita: script invia postMessage con payload HTML-injecting, es.
<img src=x onerror="...">. - Componente lo renderizza, triggerando JS arbitrario in contesto a-cdn.claude.ai.
- JS iniettato chiama chrome.runtime.sendMessage() con prompt controllato dall’attaccante.
- Estensione vede origine trusted, passa il prompt: Claude lo esegue come input utente.
Tutto silenzioso: no clic, no dialoghi, no indicatori visivi.
Patch details:
- Anthropic: wildcard sostituito con check stretto su esattamente https://claude.ai (15 gennaio 2026).
- Arkose: XSS riportata 3 febbraio 2026, patchata 19 febbraio con 403 su URL vulnerable.
Implicazioni sistemiche: Agenti AI browser espongono supply chain risks. Subdomini first-party con third-party amplificano trust boundaries. CVSS 10/10 per varianti desktop, dove calendar events trigger RCE via MCP connectors.
Mitigazioni avanzate:
- Strict Content-Security-Policy (CSP).
- Origin validation rigorosa su postMessage.
- Sanitization su innerHTML.
- Least-privilege per estensioni.
- Audit periodici su versioned assets CDN.
Per dev: integra scanner AI come Claude Code Security per zero-day. Configura revisioni PR automatiche rilevando logic errors, vuln e regressioni via multi-agente analysis.
Word count approssimativo: 1050 (contenuto espanso per profondità).
Fonte: https://cybersecuritynews.com/claude-chrome-extension-0-click-vulnerability/
