Pesquisadores de segurança da empresa LayerX descobriram uma falha grave na extensão do Claude para o Chrome que permite que qualquer outra extensão do navegador assuma o controle do assistente de IA da Anthropic. A vulnerabilidade, batizada de ClaudeBleed, foi explorada em demonstrações práticas e ainda não foi totalmente corrigida, mesmo após um patch lançado pela empresa em 6 de maio de 2026.
A extensão Claude for Chrome é uma ferramenta lançada pela Anthropic que integra o assistente de IA diretamente ao navegador. Com ela, o Claude consegue ler e-mails no Gmail, acessar arquivos no Google Drive, interagir com páginas abertas e executar ações no lugar do usuário, como enviar mensagens ou compartilhar documentos.
Como a falha funciona
Toda extensão do Chrome precisa declarar permissões para acessar dados do navegador. Uma extensão que lê e-mails, por exemplo, precisa pedir essa autorização explicitamente ao usuário na instalação.
A extensão do Claude tem uma configuração técnica chamada externally_connectable. Ela define quais origens externas podem se comunicar com a extensão. No caso, qualquer script rodando no site claude.ai tem essa permissão.
O problema é que a extensão verifica apenas de onde a mensagem veio, mas não verifica quem a enviou. Isso porque qualquer outra extensão do Chrome pode injetar um script dentro do contexto do claude.ai e passar comandos direto para o Claude, sem precisar declarar nenhuma permissão especial.
Basicamente, uma extensão maliciosa consegue se disfarçar de comando legítimo e o Claude obedece, pensando que a ordem veio de uma fonte confiável.
O que um atacante consegue fazer
Os pesquisadores da LayerX criaram uma extensão de teste, sem nenhuma permissão declarada, e demonstraram o ataque na prática. Com ela, foi possível fazer o Claude abrir um arquivo chamado “Top Secret” no Google Drive do usuário e compartilhá-lo com um e-mail externo, sem que o usuário soubesse.
Outros ataques demonstrados incluíram o envio de e-mails em nome do usuário, o roubo de código de repositórios privados no GitHub, e a leitura dos últimos cinco e-mails do Gmail com envio do resumo para um endereço externo, seguido da exclusão do e-mail enviado para apagar os rastros.
Como os bloqueios do Claude foram contornados
O Claude tem mecanismos de segurança que pedem confirmação do usuário antes de executar ações sensíveis. Os pesquisadores encontraram duas formas de driblar esses bloqueios.
A primeira foi o approval looping. O script enviava a resposta “Sim, pode continuar” em loop até o Claude aceitar o comando e executar a ação. Isso funciona porque o sistema de confirmação do Claude verifica apenas se uma resposta afirmativa foi recebida, sem checar se ela veio realmente do usuário.
A segunda foi a manipulação de DOM. O Claude toma decisões com base no que vê na tela, lendo textos, botões e estrutura visual da página. Os pesquisadores renomearam um botão de “Compartilhar” para “Solicitar feedback” e então instruíram o Claude a clicar nele. Para o assistente, parecia uma ação inofensiva. Na prática, o arquivo foi compartilhado externamente.
A correção incompleta da Anthropic
A LayerX reportou a falha à Anthropic em 27 de abril. A empresa respondeu no dia seguinte dizendo que já tinha conhecimento do problema e que uma correção seria lançada em breve. Em 6 de maio, a Anthropic lançou a versão 1.0.70 da extensão. A atualização adicionou novas telas de aprovação para ações sensíveis, exigindo que o usuário confirmasse antes de o Claude agir.
A LayerX testou a versão corrigida e encontrou uma brecha. A extensão opera em dois modos. O primeiro é o modo padrão, chamado “Ask before acting”, em que o Claude pede confirmação para cada ação. O segundo é o modo privilegiado, chamado “Act without asking”, em que o Claude age de forma autônoma, sem pedir aprovação.
As novas telas de confirmação funcionam apenas no modo padrão. No modo privilegiado, elas são ignoradas. E o pior é que uma extensão maliciosa consegue forçar a ativação do modo privilegiado sem notificar o usuário, simplesmente abusando do fluxo de inicialização do painel lateral da extensão.
Com isso, o atacante cria uma sessão paralela do Claude operando em modo autônomo, sem que o usuário saiba. A partir daí, o caminho original do ataque funciona exatamente como antes da correção.
Por que o problema de fundo continua sem solução
A correção da Anthropic atacou o sintoma visível, que eram as ações sem confirmação, mas não resolveu a causa raiz.
O problema fundamental é que a extensão ainda confia na origem da mensagem, e não em quem a enviou. Enquanto não existir um mecanismo que autentique de verdade o remetente dos comandos, qualquer extensão continuará sendo capaz de se comunicar com as interfaces privilegiadas do Claude no Chrome.
Os pesquisadores da LayerX concluíram que a arquitetura atual representa uma violação do modelo de segurança do próprio Chrome, que foi projetado para isolar extensões umas das outras. A ClaudeBleed, na prática, permite que uma extensão sem nenhuma permissão herde as capacidades de um assistente de IA com acesso a e-mail, arquivos e repositórios de código.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
Fonte ==> TecMundo
