Claude Chrome Eklentisindeki Güvenlik Açığı: Kötü Amaçlı Eklentiler Yapay Zeka Eylemlerini Tetikleyebilir Dünya Geneli

Claude Chrome Eklentisindeki Güvenlik Açığı: Kötü Amaçlı Eklentiler Yapay Zeka Eylemlerini Tetikleyebilir

Anthropic'in Claude Chrome eklentisindeki bir güvenlik açığı, kötü amaçlı eklentilerin sahte tıklama olayları oluşturarak AI iş akışlarını tetiklemesi

Anthropic'in popüler yapay zeka asistanı Claude için geliştirilen Chrome tarayıcı eklentisinde ciddi bir güvenlik açığı keşfedildi. Manifold Security araştırmacıları tarafından bulunan bu açık, kötü niyetli bir Chrome eklentisinin, kullanıcı tıklamalarını taklit ederek Claude'un önceden tanımlanmış AI eylemlerini tetiklemesine olanak tanıyor. Bu sayede saldırgan, Claude'un Gmail, Google Dokümanlar, Google Takvim ve Salesforce gibi bağlı hizmetlere olan erişimini kötüye kullanabiliyor. Güvenlik açığı, özellikle eklentinin kullanıcı etkileşimlerini doğrulama mekanizmasındaki zayıflıktan kaynaklanıyor.

Chrome eklentileri, bir web sitesinde çalışma iznine sahip olduklarında, sayfaya JavaScript enjekte edebilir ve sayfanın içeriğini okuyup değiştirebilir. Bu, sayfa öğelerini değiştirme, sitede görüntülenen bilgileri okuma ve programlı olarak tıklama ile klavye olayları oluşturma gibi işlemleri içerir. Manifold Security'nin raporuna göre, Claude eklentisi, belirli bir sayfa öğesindeki tıklama olaylarını dinleyerek yerleşik AI iş akışlarını başlatıyor. Bu iş akışları, Claude'un Gmail, Google Dokümanlar, Google Takvim ve Salesforce gibi bağlı hizmetlerde eylemler gerçekleştirmesine olanak tanıyan önceden tanımlanmış görevlerdir.

Desteklenen iş akışları arasında Gmail'de promosyon e-postalarını tespit edip abonelikten çıkma, Google Dokümanlar'daki en son belgeyi açıp yorumları okuma, Google Takvim'de boş zaman dilimlerini bulup toplantı oluşturma ve Salesforce'ta potansiyel müşteri adaylarını fırsata dönüştürme gibi eylemler bulunuyor. Araştırmacılar, eklentinin JavaScript tarafından oluşturulan tıklama olaylarını, gerçek bir kullanıcıdan gelip gelmediğini doğrulamadan kabul ettiğini tespit etti. Normalde, bir tarayıcı gerçek bir kullanıcı eylemi (fare tıklaması veya tuş vuruşu gibi) tarafından oluşturulan bir olayın Event.isTrusted özelliğini true olarak işaretler. Ancak JavaScript kullanılarak oluşturulan olaylarda bu özellik otomatik olarak false olarak ayarlanır, böylece web sayfaları ve eklentiler gerçek kullanıcı etkileşimleri ile JavaScript tarafından oluşturulan olayları ayırt edebilir.

Gelecekte Ne Bekleniyor?

Manifold Security'ye göre, Claude tarayıcı eklentisi, önceden tanımlanmış iş akışlarını yürütmeden önce bir tıklama olayının gerçek bir kullanıcıdan gelip gelmediğini kontrol etmek için tarayıcının Event.isTrusted özelliğini kullanmıyordu. Bunun yerine, 'claude.ai' alan adında içerik değiştirme iznine sahip kötü amaçlı bir eklenti, dokuz desteklenen görev tanımlayıcısından birini içeren bir sayfa öğesi enjekte edebilir ve yapay bir tıklama olayı oluşturabilir. Tarayıcı olayı güvenilmeyen olarak işaretlemesine rağmen, Claude eklentisi bunu meşru bir kullanıcı tıklaması olarak kabul edip istenen AI eylemini gerçekleştiriyordu.

Araştırmacı, bu güvenlik açığının rastgele komut enjeksiyonuna izin vermediğini, saldırının yalnızca eklentiye yerleşik dokuz önceden tanımlanmış görevle sınırlı olduğunu belirtiyor. Saldırı ayrıca bir web sitesinin doğrudan Claude eklentisini tehlikeye atmasına izin vermiyor; bunun yerine, saldırganın kullanıcıyı claude.ai'de kod çalıştırabilen kötü amaçlı bir eklenti yüklemeye ikna etmesi gerekiyor. Bu eklenti daha sonra web sayfasını manipüle edebilir ve Claude eklentisinin iş akışlarını tetikleyebilir. Kötü amaçlı bir tarayıcı eklentisi zaten çalıştığı web sayfalarına geniş erişime sahip olsa da, araştırmacılar bu açığın, eklentinin Claude'un çeşitli bağlı hizmetlere olan kimliği doğrulanmış erişimini kötüye kullanmasına izin verdiğini söylüyor.

Detaylar ve Etkileri

Etki, Claude eklentisinin yapılandırmasına ve kullanıcıların hassas eylemleri onaylamayı seçip seçmediğine veya Claude'un isteğe bağlı 'Sormadan hareket et' ayarını etkinleştirip etkinleştirmediğine bağlı. Bu ayar, önceden tanımlanmış iş akışlarının otomatik olarak yürütülmesine olanak tanıyor. İkinci bir bulguda, araştırmacılar eklentiyi başlatırken bazı izin kontrollerini atlayan dahili bir 'skipPermissions=true' parametresi buldu. Ancak, bu mekanizmanın kendi başına doğrudan istismar edilemeyeceğini ve özel olarak hazırlanmış bir URL oluşturmak için başka bir güvenlik açığı gerektireceğini kabul ettiler.

Araştırmacılar her iki bulguyu da Anthropic'e şirketin hata ödül programı aracılığıyla bildirdi. Anthropic, raporları kabul etti ve sentetik tıklama raporunu, daha geniş bir sorun olarak takip ettiklerini belirterek kapattı. 'skipPermissions=true' parametresini içeren ikinci açık ise bilgilendirme amaçlı olarak sınıflandırıldı. Manifold, güvenlik açıklarının 7 Temmuz'da yayınlanan eklentinin en son sürümü olan 1.0.80'de hala istismar edilebilir olduğunu doğruladı. Raporda, 'Manifold, 7 Temmuz'da her iki bulgunun da 1.0.80'de tekrarlanabilir olduğunu doğruladı. Alıntı yaptığımız içerik betiği ve yan panel işleyicileri, v1.0.72 kaynağıyla bayt düzeyinde aynıdır' ifadelerine yer verildi.

Sistem Güvenliği

Bu güvenlik açığı, yapay zeka asistanlarının tarayıcı eklentileri aracılığıyla kullanıcı verilerine erişim sağlamasının beraberinde getirdiği riskleri bir kez daha gözler önüne seriyor. Kullanıcıların, özellikle hassas verilere erişimi olan eklentileri yüklerken dikkatli olmaları ve yalnızca güvenilir kaynaklardan gelen eklentileri kullanmaları önem taşıyor. Ayrıca, Claude eklentisinde 'Sormadan hareket et' ayarını devre dışı bırakmak ve hassas eylemler için onay istemek, potansiyel saldırıların etkisini azaltabilir. Anthropic'in bu tür güvenlik açıklarını hızla gidermesi ve eklentinin güvenlik kontrollerini iyileştirmesi bekleniyor.

Kaynak: bleepingcomputer.com

Paylaş: