Une faille dans l'extension Claude pour Chrome

Des chercheurs en sécurité alertent sur une faille dans l'extension Claude dans Chrome d'Anthropic capable de détourner l'assistant IA et exécuter des actions non autorisées dans le navigateur.

L’intégration des assistants IA dans les navigateurs comporte des risques de sécurité. Des chercheurs de LayerX Security ont trouvé une faille dans l’extension de Claude d’Anthropic pour Chrome. Elle est vulnérable à des injections de scripts pour prendre le contrôle de l’assistant et manipuler les sessions de navigation. Dans un blog, Aviad Gispan, chercheur chez LayerX, indique avoir baptisé cette faille ClaudeBleed (une référence à HeartBleed lié à une faille dans OpenSSL). Il a signalé le problème à Anthropic qui a assuré travailler sur un correctif. Une première mise à jour a bien été publiée, mais selon le chercheur, elle ne corrige que partiellement la vulnérabilité et certaines méthodes d’exploitation restent possibles.

L'article a démontré différentes façons dont la faille peut encore être exploitée, notamment en envoyant un fichier depuis un dossier Google Drive à un tiers, en envoyant un e-mail au nom d'un attaquant distant, en volant du code depuis un dépôt privé sur GitHub, et en résumant des e-mails pour les envoyer à un utilisateur externe. « ClaudeBleed illustre parfaitement pourquoi la surveillance des assistants IA au niveau de la couche de saisie est fondamentalement insuffisante », a déclaré Ax Sharma, directeur de recherche chez Manifold Security. « La partie la plus sophistiquée de cette attaque n’est pas l’injection, mais le fait que l’environnement perçu par l’assistant ait été manipulé pour produire des actions qui semblaient légitimes de l’intérieur. C’est contre ce type de menace que le secteur doit mettre en place des défenses. »

Un gestionnaire de messagerie trop permissif

Selon Aviad Gispan, le problème réside dans une faille de conception critique dans l'extension Chrome Claude. Cette vulnérabilité permet de contrôler entièrement le comportement de l’assistant et d'agir indirectement au nom de l'utilisateur sur plusieurs services web. Pour le chercheur, il s’agit d’une violation des limites de confiance. En effet, « l’extension expose une interface de messagerie privilégiée au LLM externally_connectable qui définit les sites web ou les extensions externes qui sont autorisés à communiquer avec l’assistant » précise le chercheur.

En conséquence, même une extension « minimale » peut exécuter des prompts arbitraires, contourner les garde-fous du LLM de Claude, passer outre les flux de confirmation de l’utilisateur, manipuler la perception de l’interface utilisateur par Claude et effectuer des actions intersites sensibles (Gmail, Google Drive, GitHub). « Cette vulnérabilité brise de fait le modèle de sécurité des extensions de Chrome en donnant à une extension sans aucune autorisation la possibilité d’hériter des capacités d’un assistant IA de confiance », a souligné Aviad Gispan.

Un correctif jugé incomplet

En réponse, Anthropic a publié le 6 mai une version de l’extension (1.0.70), accompagnée d’un correctif et d’une mise en garde. Selon Aviad Gispan, cette mise à jour introduit des contrôles de sécurité internes destinés à bloquer les commandes à distance envoyées par d’autres extensions. Cependant, ces protections ne s’appliquent qu’au mode « standard ». En basculant en mode « privilégié », qui ne requiert ni autorisation explicite ni notification utilisateur, la vulnérabilité pouvait à nouveau être exploitée et autoriser l’exécution de commandes comme auparavant.

Initialement, l'entreprise avait indiqué vouloir supprimer le gestionnaire de messages à l’origine du problème. « Un correctif supprimant le gestionnaire de messages concerné a été intégré et sera livré dans une prochaine version de l'extension », avait déclaré Aviad Gispan, citant la société. Mais cette promesse n’a été que partiellement tenue. « Contrairement à leur réponse initiale, le gestionnaire de messages externally_connectable n'a pas été supprimé », précise le chercheur. À la place, Anthropic aurait renforcé les flux d’approbation pour certaines actions sensibles. Face à ces limites, LayerX recommande plusieurs pistes de renforcement : introduire des jetons d’authentification entre l’extension et les pages web, restreindre strictement externally_connectable aux seules extensions de confiance, et associer les actions sensibles à des autorisations temporaires ou à usage unique.