Claude Chrome 擴展的 1.41 以下版本存在高危提示詞注入漏洞，須及時升級

ChainCatcher 消息，据 GoPlus 援引 Koi 報告，Anthropic 旗下 Claude Chrome 擴展程序存在一個高危提示詞注入漏洞，所有低於 1.41 版本的擴展均受影響。

攻擊者可通過構造惡意網頁，在後台靜默加載含跨站腳本（XSS）漏洞的 iframe，並在 a-cdn.claude.ai 子域內執行惡意載荷。由於該子域處於擴展程序的信任白名單內，攻擊者可直接向 Claude 擴展下發惡意提示詞並自動執行，整個過程無需用戶授權或任何點擊操作，受害者無感知。該漏洞可導致攻擊者操控 Claude 擴展讀取用戶 Google Drive 文檔、竊取業務訪問令牌或導出聊天記錄，並可藉此接管當前瀏覽器會話，以受害者身份執行發送郵件等敏感操作。GoPlus 建議用戶立即將 Claude 擴展更新至 1.41 或以上版本，同時警惕釣魚鏈接。