Pesquisadores de cibersegurança identificaram uma vulnerabilidade crítica na extensão do Google Chrome do assistente Claude, da Anthropic, que poderia ser explorada para injetar comandos maliciosos apenas ao visitar uma página da web. A falha, chamada ShadowPrompt, resulta de uma lista de permissões excessivamente permissiva e uma vulnerabilidade de cross-site scripting (XSS) em um componente CAPTCHA da Arkose Labs. Essa combinação permite que um atacante injete código JavaScript que simula um comando legítimo do usuário, possibilitando o roubo de dados sensíveis, acesso ao histórico de conversas e até ações em nome da vítima, como o envio de e-mails. Após a divulgação responsável da vulnerabilidade em dezembro de 2025, a Anthropic lançou uma correção que restringe as permissões da extensão, enquanto a Arkose Labs também corrigiu a falha de XSS. A crescente complexidade e capacidade dos assistentes de IA os tornam alvos valiosos para ataques, destacando a importância de uma segurança robusta nas extensões de navegador.
Fonte: https://thehackernews.com/2026/03/claude-extension-flaw-enabled-zero.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
26/03/2026 • Risco: ALTO
VULNERABILIDADE
Vulnerabilidade na extensão do Chrome do Claude permite ataques silenciosos
RESUMO EXECUTIVO
A vulnerabilidade na extensão do Claude pode resultar em exploração ativa, com riscos significativos para a segurança de dados e conformidade regulatória. A correção foi implementada, mas a natureza da falha destaca a necessidade de vigilância contínua e avaliação de riscos em tecnologias amplamente utilizadas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e ações fraudulentas.
Operacional
Roubo de dados sensíveis e ações não autorizadas em nome da vítima.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'E-commerce']
📊 INDICADORES CHAVE
Vulnerabilidade permitia injeção de comandos sem interação do usuário.
Indicador
A correção foi lançada em 27 de dezembro de 2025.
Contexto BR
A falha de XSS foi corrigida em 19 de fevereiro de 2026.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a versão da extensão do Chrome do Claude está atualizada para a versão 1.0.41 ou superior.
2
Desabilitar a extensão até que a atualização seja confirmada.
3
Monitorar logs de acesso e atividades suspeitas relacionadas ao uso da extensão.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de extensões que podem acessar dados sensíveis e realizar ações em nome dos usuários.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
