Elke andere browserextensie die een script op claude.ai kan uitvoeren, kan Claude nog steeds activeren voor Chrome-taken gericht op uw Gmail, uw nieuwste Google-document en de bijbehorende opmerkingen, en uw agenda.
Zowel dit als ClaudeBleed hebben een frauduleuze extensie nodig die al een script op claude.ai kan uitvoeren; het verschil is de reikwijdte. Anthropic beperkte het pad naar willekeurige prompts in mei als onderdeel van zijn reactie op de ClaudeBleed-fout, door externe bellers in een vaste reeks taken te stoppen, maar Manifold Security zegt dat de kloof nog steeds open is in v1.0.80, de huidige release, acht versies later.
Als u Claude voor Chrome en een andere extensie gebruikt die claude.ai kan raken, valt u binnen het bereik. In de standaardmodus ‘Vraag voordat u handelt’, komt de vervalste taak nog steeds in een goedkeuringsvak terecht waarop u moet klikken.
Als u ‘Handelen zonder te vragen’ heeft ingeschakeld, de hands-off automatiseringsmodus, wordt deze zonder enige prompt uitgevoerd. De snelste manier is om ‘Handelen zonder te vragen’ uit te schakelen en elke extensie te bekijken met toestemming om gegevens op claude.ai te lezen of te wijzigen. Dat herstelt de goedkeuringsstap, maar verwijdert het vervalste klikpad niet, en er is geen patch vanaf 14 juli.
The Hacker News heeft de huidige build uitgepakt en bevestigd dat beide mechanismen in v1.0.80 blijven.
De trigger accepteert een vervalste klik
Na ClaudeBleedliet Anthropic de page niet langer elke tekst aan Claude overhandigen en plaatste externe bellers in negen vaste taak-ID’s die in de extensiebundel waren ingebakken.
Drie zijn oefenprompts voor onboarding, drie sturen DoorDash, Salesforce en Zillow aan, en de laatste drie, usecase-gmail, usecase-gdocsEn usecase-calendarzijn degenen die uw e-mail, uw laatste document en de bijbehorende opmerkingen, en uw agenda lezen. De toelatingslijst is een echte verbetering. De page kan Claude geen woorden meer in de mond leggen.
Het zwakke punt is wat de trekker overhaalt. Een inhoudsscript in de extensie luistert op claude.ai naar een klik op een specifiek element (#claude-onboarding-button), leest zijn data-task-iden als de ID een van de negen taken op de toelatingslijst is, wordt de extensie een open_side_panel boodschap die het draagt. Het paneel wordt geopend en de bijbehorende prompt is geladen. Wat de handler nooit controleert, is event.isTrustedde browservlag die een echte gebruiker vertelt dat hij moet klikken op een verzonden script.
Dus elke extensie waarvan het inhoudsscript de DOM op claude.ai kan bereiken, kan het element bouwen, de taak-ID instellen en een synthetische klik verzenden. De extensie beschouwt het als een echte kraan. Manifold demonstreerde de trigger met zes regels die in de claude.ai-console waren geplakt, met isTrusted: false in de logboeken waarin wordt bevestigd dat de nepklik is gehonoreerd.
Als de browsercontrole is ingeschakeld, laadt de vervalste klik standaard zodra de onboarding is voltooid usecase-gmail taak in het paneel. In de standaardmodus staat er nog steeds een goedkeuringsvak tussen dat en elke daadwerkelijke lezing, en de gebruiker moet erop klikken. Manifold beoordeelt de fout CVSS 7.7 Hoog in die modus, en 9.6 Kritiek zodra een gebruiker ‘Acteren zonder te vragen’ heeft ingeschakeld, waarbij dezelfde taak stil wordt uitgevoerd.

De oplossing met één regel, zeggen de onderzoekers, verwerpt synthetische klikken aan de bovenkant van de handler. Het is niet verzonden.
Een stillere fout zit eronder
Het tweede probleem is momenteel niet in de verste verte bereikbaar, maar het is wel wat de goedkeuringsstap wegneemt als een andere fout dit ooit aan het licht brengt. Wanneer Claude’s zijpaneel wordt geladen ?skipPermissions=true in de URL start het rechtstreeks op skip_all_permission_checks en begint te handelen zonder te vragen.
Geen gebaar, geen toestemmingsscherm. Er verschijnt een waarschuwing op een rode banner dat Claude nu de meeste acties online kan ondernemen, maar alleen nadat de bevoorrechte sessie al actief is. Op het spandoek staat wat er is gebeurd. Het verhindert niet dat dit gebeurt.
Voorlopig kan die URL alleen door de extensie zelf worden gebouwd, dus er is geen direct extern pad. Een toekomstige bug die ervoor zorgt dat een context met minder privileges die parameter kan instellen, kan de vervalste kliktruc omzetten in een volledig stille accountlezing. Dat pad kan worden blootgelegd door een URL-accepterende berichtenhandler, een regressie bij het opbouwen van een paneel of een XSS-fout op de optiepagina. De oplossing van Manifold is om te stoppen met het lezen van de toestemmingsmodus vanaf de URL en het paneel elke keer op te starten in de vraagmodus.
Manifold wijst de werkende aanval toe aan de OWASP Top 10 voor LLM-apps als indirecte promptinjectie, omdat de aanvaller een van de negen op de toelatingslijst geplaatste prompts van de extensie activeert met een vervalste klik, en het stille uitvoeringsrisico voor buitensporige actie bestaat. Beide reproduceren of het zijpaneel is ingesteld op Opus, Sonnet of Fable. De bug zit in de extensie, niet in het model.
Gerapporteerd in mei, nog steeds in de verzendcode
Manifold rapporteerde beide problemen op 21 mei tegen v1.0.72. Anthropic erkende ze de volgende dag en sloot beide. Het sloot het vervalste klikrapport af op grond van het feit dat het onderliggende vertrouwensgrensprobleem al werd gevolgd in het eerdere ClaudeBleed-rapport, waarvan Anthropic zei dat het “open blijft in afwachting van een volledige oplossing.”
Het sloot het URL-rapport af als informatief, met het argument dat de parameter alleen door de extensie wordt ingesteld voor taken waarvan de gebruiker al heeft gezegd dat deze zonder toezicht moeten worden uitgevoerd.
Toch werd het interne rapport, bedoeld om die oplossing te behandelen, vóór 9 juni gemarkeerd als opgelost, en acht releases later is de kwetsbare code niet verplaatst: Manifold controleerde v1.0.80 op 7 juli en vond de klikhandler voor het inhoudsscript en de initialisatie van het zijpaneel byte-voor-byte identiek aan de v1.0.72 die het eerst rapporteerde.
Anthropic had op 14 juli nog geen publieke reactie op de bevindingen van Manifold gepubliceerd, en of ‘opgelost’ betekent dat er nog steeds een oplossing komt of dat het overgebleven risico er geen rechtvaardigt, kan niemand buiten het bedrijf vertellen.
De scan bracht dat aan het licht. The Hacker News haalde versie 1.0.80 uit de Chrome Web Store, bijgewerkt op 7 juli en beschikbaar voor alle betalende abonnees, pakte het uit en doorliep alle 90 JavaScript-bundels: de onboarding-klikhandler wordt geactiveerd bij elke overeenkomende klik zonder event.isTrusted bewaker, en het zijpaneel leest skipPermissions van zijn eigen URL en schakelt over naar skip_all_permission_checks wanneer deze is ingesteld.

Vanaf die datum hebben we voor geen van beide kwesties een CVE gevonden en geen advies van Anthropic.
Niets hiervan is nieuw voor de extensie. Door een afzonderlijke fout die eerder dit jaar werd gerepareerd, kon elke website stilletjes prompts erin injecteren, en ClaudeBleed begon eind april op dezelfde manier, toen LayerX ontdekte dat Claude voor Chrome de oorsprong van claude.ai vertrouwde in plaats van te controleren welk script er daadwerkelijk mee praatte, de assistent van een extensie zonder toestemming verdreef en ontdekte dat de eerste oplossing van Anthropic onvolledig was.
LayerX noemde ClaudeBleed een verward-deputatieprobleem, een programma met echte autoriteit dat voor de verkeerde beller handelde. Claude Code heeft een versie van dezelfde fout laten zien: een vijandige repository zou de Anthropic API-sleutels van een ontwikkelaar kunnen exfiltreren. Anthropic noemt de extensie een bètaversie en staat open voor elke betalende Claude-abonnee.
Zet een AI-agent in uw browser terwijl uw accounts al zijn aangemeld, en een andere extensie die deze kan bereiken, kan de mogelijkheden aansturen die Claude blootlegt, binnen de vaste takenset en welke goedkeuringsmodus u ook heeft ingesteld.
Beide bevindingen verzwakken dezelfde grens: Claude accepteert een door een script gegenereerde klik als uw bedoeling, en de toestemmingsstatus kan worden ingesteld via een URL. Acht releases later ligt die grens nog steeds waar Manifold die in mei verliet.