Исследователи из компании Koi Security обнаружили критическую уязвимость в расширении Claude для Google Chrome, которое разработано компанией Anthropic. Уязвимость получила название ShadowPrompt. Её суть в том, что злоумышленник мог внедрить произвольные команды в ИИ-ассистента Claude без каких-либо действий со стороны жертвы. Достаточно было просто зайти на скомпрометированную веб-страницу.
Технически ShadowPrompt представляла собой цепочку из двух отдельных недостатков. Первый — слишком мягкая политика доверия внутри расширения. Оно принимало команды от любого поддомена, соответствующего шаблону
Сочетание этих двух дыр давало атакующему простой и мощный вектор. XSS-уязвимость на
Исследователь Орен Йомтов из Koi Security, который и раскопал проблему, описал атаку так: «Никаких кликов, никаких запросов разрешений. Просто заходишь на страницу — и атакующий полностью контролирует твой браузер. Жертва ничего не видит». Это и есть суть термина «zero-click» — от пользователя не требуется вообще ничего, кроме посещения страницы.
Потенциальный ущерб от эксплуатации этой уязвимости был серьёзным. Злоумышленник мог украсть чувствительные данные, включая токены доступа. Мог получить историю переписки пользователя с ИИ-ассистентом. Мог выполнять действия от имени жертвы — например, отправлять электронные письма, притворяясь ею, или запрашивать конфиденциальную информацию у её контактов.
По сути, расширение Claude в браузере работало как автономный агент с доступом к чтению учётных данных и отправке сообщений. ShadowPrompt превращала этого агента в инструмент атакующего, причём незаметно для владельца.
Проблему устранили с двух сторон. Anthropic выпустила обновлённую версию расширения — 0.41. В ней вместо подстановочного шаблона с поддоменами теперь используется строгая проверка, требующая точного совпадения с доменом
Koi Security передала информацию об уязвимости изданию The Hacker News. Главный вывод, который сделали исследователи, касается не конкретно Claude, а вообще всех браузерных ИИ-ассистентов. Чем больше возможностей получают такие расширения, тем привлекательнее они становятся как цели для атак. «Безопасность агента ровно настолько сильна, насколько силён самый слабый источник в границах его доверия», — сформулировали в Koi Security.
Случай с ShadowPrompt хорошо показывает механику современных атак на ИИ-инструменты. Проблема была не в самой модели Claude и не в каком-то хитром промпт-инжекте в привычном смысле. Проблема была в инфраструктуре вокруг модели — в том, как расширение решало, кому доверять. Один лишний поддомен в списке доверия плюс чужая XSS-дыра в стороннем компоненте — и вся защита рассыпалась.
Изображение носит иллюстративный характер
Технически ShadowPrompt представляла собой цепочку из двух отдельных недостатков. Первый — слишком мягкая политика доверия внутри расширения. Оно принимало команды от любого поддомена, соответствующего шаблону
.claude.ai. То есть не только от основного сайта, но и от любого адреса вида «что-угодно.claude.ai». Второй недостаток — DOM-based XSS-уязвимость в компоненте CAPTCHA от компании Arkose Labs, который был размещён на домене a-cdn.claude.ai. Сочетание этих двух дыр давало атакующему простой и мощный вектор. XSS-уязвимость на
a-cdn.claude.ai позволяла выполнить произвольный JavaScript-код в контексте этого поддомена. А поскольку поддомен формально входил в список доверенных адресов расширения, этот код мог напрямую отправлять вредоносные промпты в боковую панель Claude. Расширение послушно их выполняло, будто команда пришла от легитимного источника. Исследователь Орен Йомтов из Koi Security, который и раскопал проблему, описал атаку так: «Никаких кликов, никаких запросов разрешений. Просто заходишь на страницу — и атакующий полностью контролирует твой браузер. Жертва ничего не видит». Это и есть суть термина «zero-click» — от пользователя не требуется вообще ничего, кроме посещения страницы.
Потенциальный ущерб от эксплуатации этой уязвимости был серьёзным. Злоумышленник мог украсть чувствительные данные, включая токены доступа. Мог получить историю переписки пользователя с ИИ-ассистентом. Мог выполнять действия от имени жертвы — например, отправлять электронные письма, притворяясь ею, или запрашивать конфиденциальную информацию у её контактов.
По сути, расширение Claude в браузере работало как автономный агент с доступом к чтению учётных данных и отправке сообщений. ShadowPrompt превращала этого агента в инструмент атакующего, причём незаметно для владельца.
Проблему устранили с двух сторон. Anthropic выпустила обновлённую версию расширения — 0.41. В ней вместо подстановочного шаблона с поддоменами теперь используется строгая проверка, требующая точного совпадения с доменом
claude.ai. Arkose Labs, со своей стороны, закрыла DOM-based XSS-уязвимость в CAPTCHA-компоненте. Патч от Arkose Labs был применён 19 февраля 2026 года. Koi Security передала информацию об уязвимости изданию The Hacker News. Главный вывод, который сделали исследователи, касается не конкретно Claude, а вообще всех браузерных ИИ-ассистентов. Чем больше возможностей получают такие расширения, тем привлекательнее они становятся как цели для атак. «Безопасность агента ровно настолько сильна, насколько силён самый слабый источник в границах его доверия», — сформулировали в Koi Security.
Случай с ShadowPrompt хорошо показывает механику современных атак на ИИ-инструменты. Проблема была не в самой модели Claude и не в каком-то хитром промпт-инжекте в привычном смысле. Проблема была в инфраструктуре вокруг модели — в том, как расширение решало, кому доверять. Один лишний поддомен в списке доверия плюс чужая XSS-дыра в стороннем компоненте — и вся защита рассыпалась.
