AnthropicのAI「Claude」のChrome拡張機能に、他のChrome拡張機能から操作を乗っ取られる可能性がある脆弱性が見つかった。悪意ある拡張機能によって、Claudeを経由したメール送信やファイル読み取り、ブラウザ操作などが行われる恐れがある。研究者は、AIエージェント時代における新たな攻撃リスクだと指摘している。
-
ClaudeのChrome拡張が別の拡張機能から操作される様子 出典:LayerX Security
ClaudeのChrome拡張に何が見つかった?
セキュリティ企業のLayerX Securityは、ClaudeのChrome拡張機能に脆弱性が存在すると報告した。
同社によると、本来は権限を持たない別のChrome拡張機能から、Claude拡張を経由してAI機能を操作できる可能性があるという。
研究者は、この問題を「AIエージェントハイジャック」と表現している。
何ができてしまう? メール送信やファイル読み取りの恐れ
研究者によると、この脆弱性を悪用されると、攻撃者はClaudeに対して任意の指示を送れる可能性がある。
例えば、次のような操作が行われる恐れがある。
- Gmail経由のメール送信
- Google Drive内ファイルの窃取や削除
- GitHubリポジトリへのアクセス
- ブラウザ操作の実行
- AIに対する追加命令
Claude拡張は、ユーザーに代わってブラウザ操作を支援する機能を持つため、与えられた権限そのものが攻撃対象になる点が問題視されている。
なぜ脆弱性は生まれた? Claude拡張の“信頼”設計に課題
LayerX Securityによると、Claude拡張は「claude.ai」上で動作するスクリプトを信頼していたという。
しかしChrome拡張機能では、別の拡張機能がページ内容へ干渉できるケースがある。このため、悪意ある拡張機能がClaude側へ不正な命令を送り込める状態になっていたとされる。
Anthropicは報告を受けた後、問題を修正済みとしている。
一方、LayerX Securityの研究者は、Anthropicによる修正は部分的なものにとどまり、脆弱性の根本原因は解決されていないと指摘している。
AIエージェント利用時はChrome拡張にも注意
今回の問題は修正済みとされるが、利用者側でも不要なChrome拡張を削除し、信頼できる拡張機能だけを利用することが重要になる。
特にAIサービスと連携するChrome拡張は、メールやクラウドストレージなど高い権限を持つケースがあるため注意が必要だ。
LayerX Securityは、拡張機能間の認証強化や、外部接続の制限などが必要になると指摘している。
AIエージェント時代は「AIそのもの」ではなく権限が狙われる
今回の問題は、単なるChrome拡張の脆弱性にとどまらない。
近年は、AIがメール送信やファイル操作、ブラウザ制御などを代行する「AIエージェント」機能が急速に広がっている。その一方で、AIに与えた権限そのものが攻撃対象になるリスクも高まっている。
研究者は、AIエージェント時代では「AIモデル」だけでなく、「AIが持つ権限」や「ブラウザとの連携部分」の保護が重要になると指摘している。
外部対策は進んだが内部は守れているか コジマが選んだマイクロセグメンテーション
