Uma falha na extensão Claude para o navegador Chrome, desenvolvida pela Anthropic, pode permitir que extensões maliciosas acionem ações de IA pré-definidas ao simular cliques de usuários. Essa vulnerabilidade foi descoberta por Ax Sharma, da Manifold Security, e se origina na forma como a extensão verifica se um usuário realmente solicitou uma de suas tarefas integradas. As extensões do Chrome têm permissão para injetar JavaScript nas páginas, o que lhes permite modificar conteúdos e gerar eventos de clique programaticamente. A extensão Claude escuta eventos de clique em elementos específicos para iniciar fluxos de trabalho que interagem com serviços como Gmail, Google Docs e Salesforce. No entanto, a Claude não valida se os cliques são de usuários reais, o que permite que uma extensão maliciosa, uma vez instalada, manipule a página e execute ações sem consentimento. Embora a falha não permita injeção arbitrária de comandos, ela pode ser explorada para abusar do acesso autenticado da Claude a serviços conectados. A Anthropic foi notificada sobre a vulnerabilidade e reconheceu a gravidade do problema, mas a falha ainda persiste na versão mais recente da extensão, lançada em 7 de julho. Essa situação destaca a necessidade de uma vigilância contínua e de testes rigorosos de segurança em extensões de navegador.
Fonte: https://www.bleepingcomputer.com/news/security/claude-chrome-extension-flaw-lets-malicious-extensions-trigger-ai-actions/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
16/07/2026 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade na extensão Claude do Chrome pode comprometer serviços
RESUMO EXECUTIVO
A vulnerabilidade na extensão Claude do Chrome pode permitir que extensões maliciosas acionem ações em serviços como Gmail e Salesforce sem o consentimento do usuário. A falha não apenas compromete a segurança dos dados, mas também levanta preocupações sobre a conformidade com a LGPD, exigindo atenção imediata dos CISOs.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido a vazamentos de dados e interrupções de serviços.
Operacional
Possibilidade de execução de ações não autorizadas em serviços conectados.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'Educação']
📊 INDICADORES CHAVE
54% dos ataques bem-sucedidos são registrados, mas apenas 14% geram alertas.
Indicador
A extensão Claude possui nove tarefas pré-definidas que podem ser exploradas.
Contexto BR
A versão vulnerável da extensão foi lançada em 7 de julho de 2023.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a extensão Claude está instalada e se há permissões de extensões maliciosas.
2
Desabilitar a extensão Claude até que uma correção seja disponibilizada.
3
Monitorar atividades suspeitas em contas conectadas a serviços afetados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de acesso não autorizado a serviços críticos, o que pode resultar em vazamento de dados e comprometer a segurança organizacional.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).