Дослідники компанії LayerX виявили вразливість у розширенні Claude для браузера Chrome, яка могла дозволити зловмисникам захопити контроль над AI-агентом і використати його для крадіжки інформації. Проблема, названа ClaudeBleed, є комбінацією двох факторів: надмірних дозволів розширення та неправильно реалізованої перевірки довіри – розширення перевіряло лише походження команди, але не контекст її виконання. “Як наслідок, будь-яке розширення може викликати content script і надсилати команди розширенню Claude” – пояснюють у LayerX.

Оскільки обробник повідомлень у Claude в Chrome приймає та пересилає довільні запити, зловмисник може виконати віддалену ін’єкцію промптів і управляти діями AI-агента. Хоча Claude і застосовує підтвердження від користувача для чутливих дій, LayerX виявила, що скрипт зловмисника може обійти ці захисні механізми. Дослідники змогли підробити підтвердження від користувача шляхом повторного надсилання підтвердного повідомлення та за допомогою маніпуляцій з DOM динамічно змінювати елементи інтерфейсу та впливати на сприйняття дій агентом. “Ця вразливість фактично руйнує модель безпеки розширень Chrome, дозволяючи розширенню без дозволів успадкувати можливості довіреного AI-асистента” – зазначає LayerX. Anthropic 6 травня 2026 року випустила оновлену версію розширення – 1.0.70, яка ввела додаткові потоки підтвердження для привілейованих дій. Однак дослідники LayerX зазначають, що перехід у “привілейований” режим навіть без повідомлення чи згоди користувача дозволяв обійти ці перевірки безпеки та як і раніше ін’єктувати промпти.