事件概要
AI Agent安全问题再次敲响警钟。浏览器安全公司 LayerX 于5月8日披露,Anthropic发布的 Claude Chrome扩展存在一个高危漏洞,允许任意浏览器插件在用户毫无察觉的情况下劫持AI Agent,执行包括文件窃取、邮件监控、代码提取在内的恶意操作。
这是继今年2月OpenClaw「自主删除邮件」事件之后,AI Agent安全领域的又一次重大预警。
漏洞原理:Chrome扩展隔离机制被穿透
问题的根源在于Claude Chrome扩展代码中的一段指令:扩展允许任意来源的脚本与其内容脚本通信,却未验证调用者的身份。
LayerX高级研究员 Aviad Gispan 在博文中解释道:
「结果是,任何扩展都可以调用内容脚本(无需任何特殊权限)并向Claude扩展下发命令。攻击者只需一个没有任何特殊权限的恶意插件,就能完全接管用户的AI Agent。」
关键在于Claude Agent的工作方式依赖文本、界面语义和屏幕截图解读来做出决策——而攻击者可以在输入侧完全控制这些信息。研究团队通过修改Claude的用户界面,隐藏了敏感信息周围的标签和提示(例如密码输入框和共享确认反馈),诱导Agent将文件分享给外部服务器。整个攻击过程对Agent而言看起来完全合理。
LayerX将此漏洞定性为「有效打破了Chrome扩展安全模型」,因为它创建了一种跨扩展权限提升原语,而Chrome安全模型的设计初衷正是防止此类攻击。
攻击链演示:文件、邮件、代码一网打尽
LayerX在测试中实现了完整的攻击链:
步骤一:注入指令 在受害者访问任意网页时,恶意JS脚本自动向Claude Chrome扩展的内容脚本发送指令,绕过所有安全检查。
步骤二:界面劫持 修改Claude感知到的页面环境——隐藏「禁止分享」提示、移除敏感信息标签,让Agent误判操作的合法性。
步骤三:执行恶意操作 在用户不知情的情况下,Agent代替用户执行:
- 从Google Drive文件夹提取文件并分享给未经授权的第三方
- 监控最近邮件活动并发送邮件
- 从连接的GitHub仓库窃取私有源代码
步骤四:清除痕迹 Claude可被诱导删除相关邮件和其他操作证据。
从披露到修复:12天的空窗期
- 4月27日:LayerX向Anthropic报告该漏洞
- 4月28日:Anthropic回复称该问题与其已知的另一个漏洞重复,将在未来的安全更新中一并修复
- 5月6日:Anthropic发布部分修复,引入了特权操作的新审批流程
- 5月8日:LayerX公开披露技术细节,指出Anthropic的修复并不完整——切换到「特权」模式后,仍可在某些场景下绕过安全检查并继续注入提示词
Anthropic未就此事向CyberScoop作出评论。
行业警示:Prompt层监控已不够用
Manifold Security研究主管 Ax Sharma 指出:
「这次攻击最复杂的部分不是注入本身,而是Agent感知到的环境被篡改后,产生的行为看起来完全合法。这是整个行业需要建立防御机制的那种威胁类别。」
他补充道,在Prompt层监控AI Agent远远不够——当Agent的感知环境本身可被攻击者控制时,即使监控也无从发现异常行为。
这与CISA、五眼联盟近期发布的AI Agent安全部署指南形成了呼应:企业需要重新思考Agent的信任边界和隔离策略。
我们的判断
对AI Agent开发者而言:这是今年最值得关注的安全案例之一——漏洞的根因不在模型本身,而在于浏览器扩展的权限设计。在AI Agent被广泛用于生产环境的今天,扩展安全不能被视为事后考虑。如果你在产品中集成了Claude的Chrome扩展,需要立即排查是否存在类似的跨插件通信风险。
对企业安全团队而言:此事再次印证了CISA此前对AI Agent安全风险的警示。AI Agent的输入侧攻击面远超传统软件——不仅网络请求可以注入,连网页UI都可以被攻击者用来「欺骗」Agent。安全评估需要引入对Agent感知环境的测试。
对个人用户而言:如果你使用了Claude Chrome扩展,应确保已更新到最新版本(5月6日后的版本应有部分修复),同时对扩展的权限保持警惕——即使是看似无害的浏览器插件,也可能成为攻击载体。