Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

El parche de Microsoft registra 622 fallas, incluidos 2 de día cero bajo ataque activo

Lucid Motors niega los informes de que esté considerando declararse en quiebra

SAP parchea fallas de CVSS 9.9 NetWeaver ABAP, potencialmente exponiendo o cambiando datos

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Claude es una falla de Chrome que podría causar que una extensión fraudulenta lea tu Gmail, dicen los investigadores
Identidad

Claude es una falla de Chrome que podría causar que una extensión fraudulenta lea tu Gmail, dicen los investigadores

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 14, 2026No hay comentarios7 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Otras extensiones del navegador que pueden ejecutar scripts en claude.ai pueden activar tareas de Claude para Chrome para Gmail, Google Docs recientes y sus comentarios, y Calendar.

Tanto esto como ClaudeBleed requieren una extensión maliciosa que pueda ejecutar scripts en claude.ai. La diferencia es el alcance. Anthropic restringió rutas de aviso arbitrarias y confinó a las personas que llaman externas a un conjunto fijo de tareas en mayo como parte de su respuesta a la vulnerabilidad ClaudeBleed, pero ocho versiones después, la versión actual, v1.0.80, todavía deja brechas abiertas, según Manifold Security.

Si estás ejecutando Claude para Chrome y cualquier otra extensión que tenga acceso a claude.ai, eres elegible. En el modo predeterminado «preguntar antes de actuar», las tareas falsificadas aún llegan a un cuadro de aprobación y se debe hacer clic en ellas.

Si activa el modo de automatización sin intervención, No pregunte, actúe, se ejecutará sin ningún aviso. La contramedida más sencilla es desactivar «No preguntar, simplemente actuar» y comprobar qué extensiones tienen permiso para leer o modificar datos en claude.ai. Esto restaura el paso de autorización pero no elimina la ruta de clic falso y no hay ningún parche a partir del 14 de julio.

Hacker News descomprimió la versión actual y confirmó que ambos mecanismos permanecen en la versión 1.0.80.

Trigger acepta clics falsos

Después de ClaudeBleed, Anthropic dejó de pasar el texto que las páginas necesitaban cargar y encajonó a las personas que llamaban externas en nueve ID de tareas fijas integradas en paquetes de extensión.

Tres son indicaciones de práctica de incorporación, tres impulsan DoorDash, Salesforce y Zillow, y las últimas tres son usecase-gmail, usecase-gdocs y usecase-calendar para leer el correo electrónico, el último documento y sus comentarios, y el calendario. La lista blanca se ha mejorado mucho. El paje ya no puede poner palabras en boca de Claude.

Apretar el gatillo es una debilidad. El script de contenido en la extensión escucha un clic en un elemento específico (#claude-onboarding-button) en claude.ai, lee su ID de tarea de datos y, si ese ID es una de las nueve tareas en la lista permitida, envía un mensaje open_side_panel que lo contiene a la extensión. Se abre un panel y carga el mensaje coincidente. Lo que el controlador nunca verifica es event.isTrusted. Esta es una bandera del navegador que le indica que un usuario real hizo clic en algo a lo que se envió el script.

Por lo tanto, cualquier extensión cuyo script de contenido pueda llegar al DOM en claude.ai puede construir elementos, establecer ID de tareas y enviar clics sintéticos. La función de extensión lo trata como un grifo genuino. Manifold demostró un disparador de seis líneas pegado en la consola claude.ai. El registro de registros esTrusted: false, lo que confirma que se aceptó el clic falso.

Si el control del navegador está activado, de forma predeterminada, un clic falso cargará la tarea usecase-gmail en el panel una vez que se complete la incorporación. En el modo predeterminado, aparece un cuadro de aprobación entre la lectura real y el usuario debe hacer clic en él. Manifold califica esta falla en CVSS 7.7 Alto en este modo y 9.6 Crítico cuando los usuarios habilitan «Actuar sin preguntar», que realiza la misma tarea en silencio.

Según los investigadores, esta solución de una sola línea ahora hace que se rechacen los clics sintéticos en la parte superior del controlador. No enviado.

Un defecto más silencioso se esconde debajo.

El segundo problema, al que actualmente no se puede acceder de forma remota, eliminaría el paso de aprobación si se descubre otra falla. Cuando el panel lateral de Claude se carga con ?skipPermissions=true en la URL, skip_all_permission_checks se invoca directamente y comienza a funcionar sin preguntar nada.

No hay gestos ni pantallas de consentimiento. Aparecerá una pancarta roja advirtiéndole que Claude ahora puede realizar la mayoría de las acciones en línea, pero solo si ya se está ejecutando una sesión privilegiada. Una pancarta muestra lo sucedido. No impide que esto suceda.

Actualmente, esa URL solo puede ser construida por la propia extensión, por lo que no existe una ruta remota directa. Un error futuro podría permitir configurar ese parámetro en un contexto con pocos privilegios, lo que podría convertir el truco del clic falso en una lectura de cuenta completamente silenciosa. Esta ruta puede quedar expuesta mediante un controlador de mensajes que acepte una URL, una regresión en la construcción del panel o una falla XSS en la página de opciones. La solución de Manifold es detener la lectura desde el modo de permiso de URL e iniciar el panel en modo de solicitud cada vez.

Manifold asigna un ataque válido al OWASP Top 10 de la aplicación LLM como una inyección de aviso indirecto, ya que el atacante activa uno de los nueve avisos permitidos de la extensión con un clic falso, creando un riesgo excesivo de ejecución silenciosa para el agente. Ambos reproducen si el panel lateral está configurado en Opus, Sonnet o Fable. El error está en la extensión, no en el modelo.

Reportado en mayo, todavía aparece en el código de envío

Manifold informó ambos problemas para la versión 1.0.72 el 21 de mayo. Anthropic los aprobó al día siguiente y luego los cerró a ambos. Anthropic cerró el informe de clics falsos con el argumento de que el problema subyacente del límite de confianza ya fue rastreado en un informe anterior de ClaudeBleed, pero Anthropic dijo que el informe «permanece abierto hasta que se logre una solución completa».

Este informe de URL se cerró como informativo, alegando que la extensión solo estableció los parámetros para las tareas que el usuario ya había indicado que se ejecutaran sin supervisión.

Sin embargo, un informe interno destinado a cubrir esa solución se marcó como resuelto antes del 9 de junio y el código vulnerable no se ha movido después de ocho versiones. Manifold verificó la versión 1.0.80 el 7 de julio y descubrió que el controlador de clics del script de contenido y la inicialización del panel lateral son byte por byte idénticos a la versión 1.0.72, que se informó por primera vez.

Hasta el 14 de julio, Anthropic no había publicado una respuesta oficial a los hallazgos de Manifold, y nadie fuera de la empresa no tiene claro si «resuelto» significa que aún no se ha realizado una solución o que no hay necesidad de considerar y abordar los riesgos restantes.

El escaneo lo reveló. Hacker News tomó la versión 1.0.80 de Chrome Web Store, la actualizó el 7 de julio y la puso a disposición de todos los suscriptores pagos, la descomprimió y examinó los 90 paquetes de JavaScript. El controlador de clics de incorporación se activa cuando se hacen clics coincidentes sin la protección event.isTrusted, el panel lateral lee SkipPermissions desde su propia URL y cambia a Skip_all_permission_checks cuando está configurado.

A esa fecha no se encontraron CVE para ninguna de las emisiones. Tampoco hubo ninguna recomendación de Anthropic.

Esto no es nuevo en las extensiones. Otra falla corregida a principios de este año permitía insertar mensajes silenciosamente en cualquier sitio web, y ClaudeBleed comenzó a hacer lo mismo a finales de abril. LayerX descubrió que Claude para Chrome confiaba en el origen de claude.ai en lugar de verificar con qué scripts se estaba comunicando realmente, expulsó a Assistant de las extensiones sin privilegios y descubrió que los esfuerzos iniciales de mitigación de Anthropic estaban incompletos.

LayerX llama a ClaudeBleed un problema sustituto de confusión, un problema en el que un programa con autoridad real actúa para la persona que llama equivocada. Claude Code también muestra una versión del mismo fallo. Un repositorio hostil podría potencialmente comprometer la clave API Anthropic de un desarrollador. Anthropic llama a esta extensión beta y está abierta a todos los suscriptores pagos de Claude.

Una vez que tenga un agente de IA en su navegador con una cuenta iniciada, otra extensión que pueda alcanzarlo puede impulsar la funcionalidad que Claude expone dentro de un conjunto de tareas fijo y un modo de aprobación que usted establezca.

Ambos hallazgos debilitan el mismo límite. Claude acepta los clics generados por el script como intención y su estado de permiso se puede configurar desde la URL. Ocho lanzamientos después, la línea sigue donde la dejó Manifold en mayo.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLabubaRAT se hace pasar por el software de NVIDIA para controlar los hosts de Windows
Next Article El CEO de DeepMind pide un organismo de estándares independiente para regular la IA de frontera
corp@blsindustriaytecnologia.com
  • Website

Related Posts

El parche de Microsoft registra 622 fallas, incluidos 2 de día cero bajo ataque activo

julio 14, 2026

SAP parchea fallas de CVSS 9.9 NetWeaver ABAP, potencialmente exponiendo o cambiando datos

julio 14, 2026

LabubaRAT se hace pasar por el software de NVIDIA para controlar los hosts de Windows

julio 14, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

El parche de Microsoft registra 622 fallas, incluidos 2 de día cero bajo ataque activo

Lucid Motors niega los informes de que esté considerando declararse en quiebra

SAP parchea fallas de CVSS 9.9 NetWeaver ABAP, potencialmente exponiendo o cambiando datos

El CEO de DeepMind pide un organismo de estándares independiente para regular la IA de frontera

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.