Pesquisadores de cibersegurança revelaram uma vulnerabilidade na extensão Claude para Google Chrome, desenvolvida pela Anthropic, que pode ser explorada apenas ao visitar uma página web.
Com essa falha, sites maliciosos conseguem disparar prompts no assistente de forma silenciosa, sem qualquer interação do usuário.
Segundo Oren Yomtov, pesquisador da Koi Security, em relatório compartilhado com o The Hacker News, "qualquer site podia injetar prompts no assistente como se o próprio usuário os tivesse escrito.
"Não havia cliques nem permissões solicitadas. Bastava visitar a página para que o atacante tivesse controle total sobre o navegador."
A vulnerabilidade, batizada de ShadowPrompt, combina duas falhas principais:
1. Uma origin allowlist excessivamente permissiva na extensão, que aceitava qualquer subdomínio seguindo o padrão (*.claude.ai) para enviar prompts ao Claude.
2. Uma vulnerabilidade de cross-site scripting (XSS) baseada no DOM, presente em um componente CAPTCHA da Arkose Labs hospedado no domínio “a-cdn.claude[.]ai”.
Essa vulnerabilidade de XSS permitia a execução de código JavaScript arbitrário no contexto do domínio “a-cdn.claude[.]ai”.
Um atacante poderia explorar esse comportamento para injetar um script capaz de disparar prompts na extensão Claude.
A extensão, por sua vez, aceitava esses prompts como requisições legítimas do usuário, simplesmente porque a origem estava na lista de domínios permitidos.
De acordo com Yomtov, "a página do atacante incorpora o componente vulnerável da Arkose em um iframe oculto, envia o payload via postMessage e o script injetado dispara o prompt na extensão.
"A vítima não percebe nada."
Se explorada com sucesso, essa vulnerabilidade pode permitir que o invasor roube dados sensíveis, como tokens de acesso, além de acessar o histórico de conversas com o assistente de IA e até realizar ações em nome da vítima, como enviar e-mails se passando por ela ou solicitar informações confidenciais.
Após a divulgação responsável da falha em 27 de dezembro de 2025, a Anthropic lançou uma correção para a extensão no Chrome (versão 1.0.41), que passou a exigir verificação rigorosa de domínio, com correspondência exata para “claude[.]ai”.
Já a Arkose Labs corrigiu a vulnerabilidade de XSS em seu componente em 19 de fevereiro de 2026.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...