Falha no Claude para Chrome permite que outras extensões acionem tarefas no Gmail, Docs e Calendar
15 de Julho de 2026

Qualquer outra extensão de navegador que consiga executar um script em claude.ai ainda pode acionar tarefas do Claude for Chrome que leem seu Gmail, abrem seu documento mais recente no Google Docs e seus comentários, e verificam seu Calendar.

A Anthropic restringiu a rota de prompt arbitrário em maio como parte da resposta à falha ClaudeBleed, mas a Manifold Security afirma que a brecha segue aberta na versão 1.0.80, o lançamento atual, oito versões depois.

Se você usa o Claude for Chrome e qualquer outra extensão que consiga interagir com claude.ai, você está no escopo.

No modo padrão, "ask before acting", a tarefa forjada ainda aciona uma caixa de aprovação que você precisa clicar.

Se você ativou "Act without asking", o modo de automação sem intervenção, tudo roda sem prompt algum.

A forma mais rápida de se proteger é desativar "Act without asking" e revisar qualquer extensão com permissão para ler ou alterar dados em claude.ai.

Isso restaura a etapa de aprovação, mas não elimina a rota de clique forjado, e até 14 de julho não havia patch.

O Hacker News analisou a versão atual e confirmou que ambos os mecanismos permanecem na 1.0.80.

O gatilho aceita um clique forjado

Depois do ClaudeBleed, a Anthropic deixou de permitir que a página entregasse ao Claude qualquer texto que quisesse e passou a limitar chamadores externos a nove IDs fixos de tarefas embutidos no pacote da extensão.

Três são prompts de treinamento de onboarding, três acionam DoorDash, Salesforce e Zillow, e os três últimos, usecase-gmail, usecase-gdocs e usecase-calendar, são os que leem seu e-mail, seu documento mais recente e seus comentários, além do seu Calendar.

A allowlist representa uma melhoria real.

A página já não consegue mais colocar palavras na boca do Claude.

O ponto fraco é o que dispara o gatilho.

Um script de conteúdo na extensão escuta em claude.ai um clique em um elemento específico (#claude-onboarding-button), lê seu data-task-id e, se o ID estiver entre as nove tarefas da allowlist, envia à extensão uma mensagem open_side_panel com esse valor.

O painel abre com o prompt correspondente carregado.

O que o manipulador nunca verifica é event.isTrusted, a sinalização do navegador que distingue um clique real de outro enviado por script.

Assim, qualquer extensão cujo script de conteúdo consiga alcançar o DOM em claude.ai pode criar o elemento, definir o ID da tarefa e disparar um clique sintético.

A extensão trata isso como um toque genuíno.

A Manifold demonstrou o gatilho com seis linhas coladas no console do claude.ai, com isTrusted: false nos registros confirmando que o clique falso foi aceito.

Com o controle do navegador ativado, o padrão após a conclusão do onboarding, esse clique forjado carrega a tarefa usecase-gmail no painel.

No modo padrão, ainda há uma caixa de aprovação entre isso e qualquer leitura efetiva, e o usuário precisa clicar nela.

A Manifold classifica a falha como CVSS 7,7, alta, nesse modo, e 9,6, crítica, quando o usuário ativou "Act without asking", em que a mesma tarefa roda em silêncio.

A correção de uma linha, dizem os pesquisadores, rejeita cliques sintéticos no início do manipulador.

Ela ainda não foi lançada.

Uma falha mais silenciosa fica abaixo disso

O segundo problema não é acessível remotamente hoje, mas é ele que remove a etapa de aprovação se outra falha um dia o expuser.

Quando o painel lateral do Claude carrega com ?skipPermissions=true na URL, ele inicia diretamente em skip_all_permission_checks e passa a agir sem pedir autorização.

Nenhum gesto, nenhuma tela de consentimento.

Um banner vermelho avisa que o Claude agora pode executar a maioria das ações online, mas só depois que a sessão privilegiada já está em execução.

O banner informa o que aconteceu.

Ele não impede que aconteça.

Por enquanto, essa URL só pode ser criada pela própria extensão, então não há uma rota remota direta.

Um bug futuro que permita a um contexto com menos privilégios definir esse parâmetro poderia transformar o truque do clique forjado em uma leitura totalmente silenciosa da conta.

Essa rota poderia surgir de um manipulador de mensagens que aceite URLs, de uma regressão na construção do painel ou de uma falha XSS na página de opções.

A correção proposta pela Manifold é parar de ler o modo de permissão pela URL e iniciar o painel sempre em modo de aprovação.

A Manifold mapeia o ataque funcional para o Top 10 da OWASP para apps de LLM como prompt injection indireta, já que o invasor dispara um dos nove prompts da allowlist da extensão com um clique forjado, e o risco de execução silenciosa como agência excessiva.

Ambos se reproduzem independentemente de o painel lateral estar configurado para Opus, Sonnet ou Fable.

O bug está na extensão, não no modelo.

Relatado em maio, ainda no código distribuído

A Manifold relatou ambos os problemas em 21 de maio contra a versão 1.0.72.

A Anthropic os reconheceu no dia seguinte e depois encerrou os dois casos.

O relatório sobre o clique forjado foi encerrado sob o argumento de que o problema subjacente de fronteira de confiança já estava sendo acompanhado no reporte anterior do ClaudeBleed, que a Anthropic disse "permanecer aberto até um conserto completo".

O relatório sobre a URL foi encerrado como informativo, sob a alegação de que o parâmetro só é definido pela extensão para tarefas que o usuário já disse que podem rodar sem intervenção.

Ainda assim, o relatório interno que deveria cobrir essa correção foi marcado como resolvido antes de 9 de junho e, oito versões depois, o código vulnerável não mudou: a Manifold verificou a versão 1.0.80 em 7 de julho e encontrou o manipulador de clique do script de conteúdo e a inicialização do painel lateral idênticos, byte a byte, aos da 1.0.72 que havia relatado inicialmente.

A Anthropic não havia publicado uma resposta pública aos achados da Manifold até 14 de julho, e se "resolvido" significa que ainda vem uma correção ou uma decisão de que o risco residual não justifica uma, ninguém fora da empresa consegue afirmar.

A varredura confirmou isso.

O Hacker News baixou a versão 1.0.80 da Chrome Web Store, atualizada em 7 de julho e disponível para todos os assinantes pagos, descompactou o pacote e analisou todos os 90 bundles JavaScript.

O manipulador de clique do onboarding dispara em qualquer clique correspondente, sem a proteção event.isTrusted, e o painel lateral lê skipPermissions da própria URL e entra em skip_all_permission_checks quando o valor está definido.

Até essa data, não havia CVE para nenhum dos dois problemas nem comunicado da Anthropic.

Nada disso é novo para a extensão.

Uma falha separada, corrigida no início deste ano, permitia que qualquer site injetasse prompts nela sem ser notado, e o ClaudeBleed começou da mesma forma no fim de abril, quando a LayerX descobriu que o Claude for Chrome confiava na origem claude.ai em vez de verificar qual script realmente estava falando com ele, conduziu o assistente a partir de uma extensão sem permissões e descobriu que a primeira mitigação da Anthropic era incompleta.

A LayerX classificou o ClaudeBleed como um problema de agente confundido, em que um programa com autoridade real age em nome do chamador errado.

O Claude Code já apresentou uma versão do mesmo erro: um repositório hostil poderia exfiltrar as chaves de API da Anthropic de um desenvolvedor.

A Anthropic chama a extensão de beta, e ela está aberta a todos os assinantes pagos do Claude.

Coloque um agente de IA no seu navegador com suas contas já autenticadas, e outra extensão que consiga alcançá-lo pode dirigir as capacidades que o Claude expõe, dentro do conjunto fixo de tarefas e do modo de aprovação que você tiver configurado.

Os dois achados enfraquecem a mesma fronteira: o Claude aceita um clique gerado por script como se fosse sua intenção, e seu estado de permissão pode ser definido por uma URL.

Oito versões depois, essa fronteira ainda está exatamente onde a Manifold a deixou em maio.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...