Popüler yapay zeka asistanı Claude'un Chrome tarayıcı eklentisinde kritik bir güvenlik açığı keşfedildi. Manifold Security araştırmacıları tarafından bulunan bu zafiyet, kötü niyetli tarayıcı eklentilerinin, kullanıcı tıklamalarını taklit ederek Claude'un önceden tanımlanmış AI iş akışlarını tetiklemesine olanak tanıyor. Bu sayede saldırganlar, Claude'un Gmail, Google Dokümanlar, Google Takvim ve Salesforce gibi bağlı hizmetlere olan erişimini kötüye kullanabiliyor.
Sorunun temelinde, Claude eklentisinin kullanıcı tarafından gerçekleştirilen tıklamalar ile JavaScript tarafından üretilen sentetik tıklamaları ayırt edememesi yatıyor. Normal şartlarda tarayıcılar, gerçek kullanıcı eylemlerini Event.isTrusted özelliğini true yaparak işaretlerken, JavaScript ile oluşturulan olaylarda bu özellik false olarak ayarlanır. Ancak Claude eklentisi, bu kontrolü yapmadığı için, kötü amaçlı bir eklenti claude.ai alanında çalışan JavaScript ile sahte tıklama olayları oluşturarak eklentinin AI iş akışlarını başlatabiliyor.
Claude eklentisi, belirli sayfa öğelerine tıklanmasını dinleyerek dokuz farklı ön tanımlı iş akışını çalıştırıyor. Bu iş akışları arasında Gmail'de promosyon e-postalarını bulup abonelikten çıkma, Google Dokümanlar'daki en son belgeyi açıp yorumları okuma, Google Takvim'de boş zaman dilimleri bularak toplantı oluşturma ve Salesforce'ta potansiyel müşterileri fırsata dönüştürme gibi hassas işlemler yer alıyor. Araştırmacılar, eklentinin bu iş akışlarını başlatmak için Event.isTrusted kontrolünü atladığını tespit etti.
Saldırının gerçekleşebilmesi için kullanıcının, claude.ai üzerinde kod çalıştırabilen kötü amaçlı bir Chrome eklentisi yüklemesi gerekiyor. Bu eklenti, sayfaya kendi içeriğini enjekte ederek Claude eklentisinin dinlediği öğelere sahte tıklama olayları gönderebiliyor. Araştırmacı Ax Sharma, bu yöntemin rastgele komut enjeksiyonuna izin vermediğini, yalnızca önceden tanımlanmış dokuz iş akışıyla sınırlı olduğunu belirtiyor. Ancak bu iş akışları, Claude'un bağlı hizmetlerdeki yetkilerini kullanarak önemli verilere erişebiliyor.
Gelecekte Ne Bekleniyor?
Tehdidin ciddiyeti, Claude eklentisinin yapılandırmasına ve kullanıcının 'Sor sormadan çalıştır' ayarını etkinleştirip etkinleştirmediğine bağlı. Bu ayar açıkken, iş akışları otomatik olarak çalışıyor ve hassas işlemler için kullanıcı onayı gerektirmiyor. Ayrıca araştırmacılar, eklentide 'skipPermissions=true' adlı bir iç parametre keşfetti; bu parametre belirli izin kontrollerini atlayarak iş akışlarının başlatılmasını sağlıyor. Ancak bu parametrenin tek başına kullanılamayacağı ve başka bir güvenlik açığı gerektirdiği belirtiliyor.
Sistem Güvenliği
Manifold Security, her iki güvenlik açığını da Anthropic'in ödül programına bildirdi. Anthropic, sentetik tıklama raporunu kapatırken bu sorunu daha geniş bir konu olarak takip ettiklerini belirtti. 'skipPermissions=true' parametresiyle ilgili ikinci bulgu ise bilgilendirme amaçlı olarak sınıflandırıldı. Araştırmacılar, en son sürüm 1.0.80'de (7 Temmuz'da yayınlandı) her iki açığın da hâlâ istismar edilebilir olduğunu doğruladı.
Bu güvenlik açığı, AI asistanlarının tarayıcı eklentileri aracılığıyla sunduğu yeteneklerin ne kadar dikkatli tasarlanması gerektiğini bir kez daha gösteriyor. Kullanıcıların, yalnızca güvenilir kaynaklardan eklenti yüklemeleri ve Claude eklentisinin 'Sor sormadan çalıştır' özelliğini devre dışı bırakmaları öneriliyor. Ayrıca, tarayıcı eklentilerine verilen izinlerin düzenli olarak gözden geçirilmesi, bu tür saldırıların etkisini azaltabilir. Anthropic'in konuyla ilgili kalıcı bir çözüm yayınlaması bekleniyor.
Kaynak: bleepingcomputer.com