Vulnerabilidades no Claude para Chrome expõem dados de usuários

Um novo relatório de segurança revelou vulnerabilidades críticas na extensão Claude para Chrome, que podem permitir que extensões maliciosas acessem dados pessoais de usuários, como e-mails e documentos do Google. A falha, identificada como ‘forged click’, permite que um script malicioso simule cliques legítimos, contornando a necessidade de autorização do usuário. Embora a Anthropic tenha implementado algumas restrições após a descoberta da vulnerabilidade ClaudeBleed, a Manifold Security confirmou que a versão atual (v1.0.80) ainda apresenta riscos significativos. A extensão, que é amplamente utilizada por assinantes do Claude, pode ser manipulada para executar tarefas sem o consentimento do usuário, especialmente se a opção ‘Act without asking’ estiver ativada. A situação é agravada por uma segunda vulnerabilidade que pode ser explorada no futuro, caso uma falha permita que parâmetros de URL sejam manipulados. A Manifold classificou a gravidade da falha como CVSS 7.7 em modo padrão e 9.6 em modo automático. Até o momento, não há correções disponíveis, e a Anthropic não se manifestou publicamente sobre as descobertas.

Fonte: https://thehackernews.com/2026/07/claude-for-chrome-flaw-lets-other.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
14/07/2026 • Risco: CRITICO
VULNERABILIDADE

Vulnerabilidades no Claude para Chrome expõem dados de usuários

RESUMO EXECUTIVO
As vulnerabilidades na extensão Claude para Chrome representam um risco crítico para a segurança de dados dos usuários. A possibilidade de acesso não autorizado a informações sensíveis pode resultar em consequências legais e financeiras severas, especialmente em relação à conformidade com a LGPD. A falta de correções disponíveis e a inação da Anthropic aumentam a urgência para que as empresas avaliem o uso dessa extensão.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a vazamentos de dados e multas por não conformidade com a LGPD.
Operacional
Acesso não autorizado a e-mails, documentos e calendários dos usuários.
Setores vulneráveis
['Tecnologia', 'Serviços financeiros', 'Educação']

📊 INDICADORES CHAVE

CVSS 7.7 em modo padrão Indicador
CVSS 9.6 em modo automático Contexto BR
Oito versões lançadas sem correções para a vulnerabilidade Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar as permissões de extensões instaladas e desativar a opção 'Act without asking'.
2 Desinstalar a extensão Claude para Chrome até que uma correção seja disponibilizada.
3 Monitorar atualizações da Anthropic e novas vulnerabilidades relacionadas a extensões de navegador.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de dados sensíveis e a conformidade com a LGPD, especialmente em um cenário onde extensões de navegador são frequentemente utilizadas.

⚖️ COMPLIANCE

Implicações diretas na conformidade com a LGPD, que exige proteção rigorosa de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).