Lỗ hổng chưa được vá trên tiện ích mở rộng Claude cho Chrome nguy cơ làm lộ dữ liệu Gmail và Lịch
- Thảo Nguyên

- 2 giờ trước
- 4 phút đọc
Tiện ích mở rộng (extension) Claude trên trình duyệt Chrome đang trở thành tâm điểm chú ý của giới công nghệ khi các nhà nghiên cứu bảo mật phát hiện một lỗ hổng nghiêm trọng vẫn chưa được khắc phục. Sự cố này có thể tạo điều kiện cho các tiện ích độc hại khác vượt qua hàng rào bảo vệ để đọc trộm email, tài liệu và lịch trình của người dùng.
Nguy cơ rò rỉ dữ liệu cá nhân từ công cụ hỗ trợ
Công ty an ninh mạng AI Manifold vừa đưa ra cảnh báo về hai lỗ hổng bảo mật xuất hiện trên tiện ích Claude cho Chrome. Đây là một "tiện ích duyệt web có tính năng đại lý" (agentic browser extension) - hiểu đơn giản là một trợ lý ảo thông minh có thể thay mặt người dùng thực hiện các thao tác trực tiếp trên trình duyệt.

Theo Manifold, dù họ đã thông báo cho Anthropic (công ty chủ quản của Claude) từ tháng 5, các lỗ hổng này vẫn có thể bị khai thác trên phiên bản mới nhất. Khi tận dụng thành công điểm yếu này, một tiện ích mở rộng độc hại khác cài trên cùng trình duyệt có thể âm thầm kích hoạt Claude thực hiện các hành động mà không cần bất kỳ cú nhấp chuột hay sự chấp thuận nào từ nạn nhân. Từ đó, kẻ tấn công có thể dễ dàng đọc được các tin nhắn trong Gmail, tài liệu Google Docs và các sự kiện lưu trên lịch.
Nguồn gốc và cơ chế hoạt động của lỗ hổng
Vấn đề bảo mật này liên quan chặt chẽ đến một lỗ hổng tương tự từng được phát hiện trước đó với tên gọi ClaudeBleed. Để giải quyết lỗi ClaudeBleed cũ, Anthropic từng tung ra một bản cập nhật nhằm giới hạn các câu lệnh mà một trang web bên ngoài có thể gửi tới Claude. Bản cập nhật này thu hẹp phạm vi hoạt động của tiện ích vào một nhóm các tác vụ cố định đã được phê duyệt sẵn.
Tuy nhiên, Manifold đã tìm ra một điểm yếu cốt lõi trong cơ chế này: hệ thống không hề xác minh xem yêu cầu kích hoạt tác vụ có thực sự đến từ cái nhấp chuột của người dùng thật hay không. Điều này đồng nghĩa với việc một tiện ích khác có thể giả mạo tương tác này để đánh lừa hệ thống.
Ở chế độ cài đặt mặc định, cuộc tấn công sẽ bị chặn lại bởi một yêu cầu xác nhận hiển thị trên màn hình trước khi bất kỳ hành động nhạy cảm nào diễn ra. Thế nhưng, nếu người dùng kích hoạt chế độ tự chủ cao hơn của tiện ích là "Hành động không cần hỏi" (Act without asking), kẻ tấn công có thể thoải mái thực hiện hành vi xâm nhập mà không kích hoạt bất kỳ cảnh báo nào.
Rủi ro cấu trúc và trạng thái chưa được khắc phục
Bên cạnh đó, các nhà nghiên cứu tại Manifold cũng cảnh báo về lỗi thiết kế thứ hai liên quan đến bảng điều khiển bên (side panel) của Claude. Bộ phận này có khả năng tự động khởi chạy trực tiếp vào chế độ không cần xác nhận dựa trên một tham số nằm ngay trong đường dẫn URL của chính nó.
Hiện tại, kẻ tấn công chưa thể trực tiếp khai thác lỗi thiết kế này vì chỉ bản thân tiện ích mở rộng mới có quyền tạo ra URL đó. Dù vậy, các chuyên gia nhấn mạnh đây là một nguy cơ lớn về mặt cấu trúc. Trong tương lai, nếu xuất hiện bất kỳ lỗi nào cho phép một tập lệnh (mã chương trình) từ bên ngoài can thiệp vào cách xây dựng URL này, kẻ tấn công sẽ giành được quyền kiểm soát âm thầm đối với tất cả các tài khoản liên kết của người dùng.
Tám bản vá vẫn chưa thể giải quyết triệt để
Manifold cho biết họ đã báo cáo các phát hiện của mình cho Anthropic vào ngày 21 tháng 5, ngay sau khi các nghiên cứu về lỗ hổng ClaudeBleed được công bố rộng rãi. Ở thời điểm đó, gã khổng lồ AI Anthropic giải thích rằng danh sách các tác vụ được phê duyệt trước chỉ là một biện pháp giảm thiểu tạm thời trong lúc chờ đợi một bản sửa lỗi hoàn chỉnh được triển khai.
Tuy nhiên, theo ghi nhận từ Manifold, đã có tổng cộng 8 phiên bản mới được phát hành kể từ thời điểm báo cáo nhưng lỗ hổng kể trên vẫn chưa được vá, bao gồm cả phiên bản mới nhất hiện tại là 1.0.80.
Việc các lỗ hổng bảo mật nghiêm trọng vẫn tồn tại qua nhiều phiên bản cập nhật là một lời nhắc nhở đối với người dùng công nghệ. Để bảo vệ an toàn cho dữ liệu cá nhân của mình, người dùng cần đặc biệt cẩn trọng khi cấp quyền tự động cho các tiện ích mở rộng trên trình duyệt, nhất là các tính năng cho phép công cụ tự ý hành động mà không cần hỏi trước.











Bình luận