Investigadores han descubierto una vulnerabilidad crítica en la extensión para Chrome “Claude in Chrome” que permite a atacantes invisibles apoderarse completamente del asistente de IA confiable. Al explotar esta falla de violación del límite de confianza, los actores maliciosos pueden acceder y exfiltrar mensajes privados de Gmail, documentos restringidos en Google Drive y repositorios privados en GitHub sin interacción del usuario ni cadenas de explotación complejas.
Productos afectados
| Producto | Componente | Versión afectada |
|---|---|---|
| Claude in Chrome | Extensión para navegador Chrome | Antes de la versión 1.0.70 |
Solución
Actualizar la extensión Claude para Chrome a la versión 1.0.70 o superior que introduce flujos explícitos de aprobación para acciones estándar del navegador.
Recomendaciones
Priorizar la actualización inmediata de la extensión y restringir el uso de modo privilegiado (“Act without asking”) para evitar explotación. Validar minuciosamente los orígenes de las solicitudes externas en las integraciones con extensiones para minimizar riesgos similares.