Claude for Chrome Güvenlik Açığı: Kötü Amaçlı Eklentiler Gmail'inize Erişebilir Yazılım

Claude for Chrome Güvenlik Açığı: Kötü Amaçlı Eklentiler Gmail'inize Erişebilir

Claude for Chrome eklentisindeki ClaudeBleed açığı, kötü amaçlı eklentilerin kullanıcı adına Gmail ve Drive'a erişmesine izin veriyor. İşte korunma yo

Mayıs ayında ilk kez raporlanan ClaudeBleed, temelde bir 'sahte uzaktan kumanda' sorunu. Sinsi bir tarayıcı eklentisi, Claude'un kendi web sitesi gibi davranarak Claude for Chrome eklentisini gizlice yönlendirebiliyor ve bu sayede kullanıcının verilerini okuyup hesaplarında işlem yapabiliyor. Bu güvenlik açığı, yapay zeka destekli tarayıcı asistanlarının yetki yönetimindeki zayıflıkları bir kez daha gözler önüne seriyor.

Claude for Chrome, kullanıcının izniyle Gmail veya Google Drive gibi hizmetlere erişen bir yardımcı eklenti. ClaudeBleed'in ortaya çıkmasının nedeni, eklentinin kullanıcının yardım talebi ile kötü niyetli bir betiğin kullanıcı adına yaptığı talebi güvenilir bir şekilde ayırt edememesi. Yani siz 'Claude, bu e-postayı oku' butonuna tıklarken, arkada çalışan bir eklenti aynı talebi sessizce fısıldayabiliyor ve Claude bunu yerine getiriyor.

Kötü amaçlı bir eklenti, Claude'a sizin adınıza komutlar gönderebildiğinde şunları yapabilir: Gmail'inizi okumak, Google Drive dosyalarınıza erişmek veya özel GitHub depolarını klonlamak (Claude for Chrome'un sunduğu araçlara bağlı olarak). Ayrıca Claude'a sizin oturumunuz altında e-posta gönderme veya belgeleri düzenleme talimatı verebilir. Tüm bunlar olurken siz yalnızca normal bir Claude etkileşimi veya kısa bir izin penceresi görürsünüz, ancak asıl yönlendirici arka planda çalışan kötü amaçlı eklentidir.

Detaylar ve Etkileri

Anthropic, araştırmacıların raporlarını bir sonraki gün kabul etti ve her iki raporu da çözüldü olarak işaretledi. Ancak araştırmacılara göre Anthropic'in düzeltmesi bazı semptomları ele alsa da, temel ayrıcalık devri ve kontrol mekanizmalarını kırılgan bıraktı. Örneğin, bir izin listesi yaması neyin sorulabileceğini değiştirdi, ancak kimin sorabileceğini değiştirmedi. Manifold Security, Claude for Chrome'un en son sürümünü inceledikten sonra şunları yazdı: 'Sekiz Claude for Chrome sürümü sonra, bypass hala altı satır JavaScript. Bunu Mayıs'ta bildirdik. Kod en son sürümde değişmemiş.'

Kullanıcılar, Claude for Chrome'a otomatik görevleri yerine getirmesi için güvenmeden önce eklentinin hâlâ resmi olarak beta aşamasında olduğunu unutmamalı. Güvende kalmak için bazı ipuçları: Claude for Chrome'da 'İzinsiz hareket et' seçeneğini kapatın. Bu, asistanın onayınız olmadan işlem yapma yeteneğini ortadan kaldırarak kötü amaçlı bir eklentinin izinlerini kötüye kullanmasını zorlaştırır. Chrome eklentilerinizi gözden geçirin ve tam olarak güvenmediğiniz her şeyi kaldırın. claude.ai üzerinde betik çalıştırabilen herhangi bir eklenti, Claude'un görevlerini tetikleyebilir; bu nedenle eklenti listenizi olabildiğince küçük tutun. Tanımadığınız veya kullanmadığınız bir eklentiyi kaldırın.

Sonuç ve Değerlendirme

Yapay zeka tarayıcı asistanlarına Gmail, Google Dokümanlar ve Google Takvim gibi hassas hesaplara erişim izni verirken dikkatli olun. Asistanın erişebileceği hizmetleri sınırlamak, bir sorun durumunda maruziyetinizi azaltır. Anthropic daha kapsamlı bir düzeltme yayınlayana kadar, hassas e-posta, belge veya iş hesaplarını yönettiğiniz sistemlerde Claude for Chrome'u devre dışı bırakmayı düşünün. Tehditleri zarar vermeden durdurmak için Malwarebytes Browser Guard gibi araçlar, kimlik avı sayfalarını ve kötü amaçlı siteleri otomatik olarak engelleyebilir.

Kaynak: malwarebytes.com

Paylaş: