Anthropic'in yapay zeka asistanı Claude için geliştirdiği Chrome eklentisinde kritik güvenlik açıkları tespit edildi. Manifold Security araştırmacılarına göre, bu açıklar kötü niyetli bir tarayıcı uzantısının Claude'un ayrıcalıklarını kullanarak kullanıcının Gmail mesajlarını, Google Dokümanlar içeriğini ve Takvim girişlerini okumasına olanak tanıyor. Sorun, Mayıs ayında şirkete bildirilmesine rağmen aylardır düzeltilmedi.
Araştırmacıların blog yazısında belirttiğine göre, güvenlik açıkları 7 Temmuz'da yayınlanan Claude for Chrome sürüm 1.0.80'de hala tekrarlanabiliyor. Mayıs ayından bu yana sekiz sürüm yayınlanmasına rağmen sorun çözülmüş değil. Bu durum, yapay zeka asistanlarının tarayıcı eklentileriyle entegrasyonunda güvenlik önlemlerinin yetersiz kaldığını gösteriyor.
Güvenlik açıkları, Claude eklentisinin izin modelindeki zayıflıklardan kaynaklanıyor. Normalde bir Chrome uzantısı, kullanıcının Gmail veya Google Dokümanlar gibi hassas verilerine doğrudan erişemez. Ancak Claude eklentisi, AI asistanının içeriği okumasına izin veren geniş yetkilere sahip. Kötü niyetli bir uzantı, bu yetkileri manipüle ederek Claude'un kullanıcı adına verilere erişmesini sağlayabiliyor.
Teknik Analiz
Manifold Security araştırmacıları, bu tür bir saldırının nasıl gerçekleştirilebileceğini detaylandırdı. Örneğin, bir kullanıcı kötü niyetli bir Chrome uzantısı yüklediğinde, bu uzantı Claude eklentisiyle etkileşime girerek AI'ın Gmail'deki e-postaları okumasını veya Google Dokümanlar'daki belgeleri taramasını emredebiliyor. Claude, kullanıcının verilerine erişim iznine sahip olduğu için bu talepleri yerine getiriyor ve sonuçları kötü niyetli uzantıya iletiliyor.
Bu güvenlik açığı, yapay zeka asistanlarının tarayıcı eklentileri aracılığıyla kişisel verilere erişmesinin potansiyel risklerini bir kez daha gündeme getiriyor. Kullanıcılar, Claude gibi AI araçlarını kullanırken hangi verilere erişim izni verdiklerini dikkatle değerlendirmeli ve gereksiz izinleri kaldırmalı. Ayrıca, yalnızca güvenilir kaynaklardan Chrome uzantıları yüklemek ve eklenti izinlerini düzenli olarak gözden geçirmek önemli.
Detaylar ve Etkileri
Anthropic'in bu güvenlik açıklarını ne zaman düzelteceği belirsizliğini koruyor. Kullanıcılar, resmi bir yama yayınlanana kadar Claude Chrome eklentisini kullanmaktan kaçınabilir veya alternatif olarak Claude'u web arayüzü üzerinden kullanmayı tercih edebilir. Bu tür güvenlik zaafiyetleri, yapay zeka tabanlı araçların yaygınlaştığı günümüzde, şirketlerin güvenlik protokollerini ne kadar hızlı ve etkili bir şekilde uyguladığının önemini vurguluyor.
Kaynak: csoonline.com