لا يزال بإمكان أي ملحق متصفح آخر يمكنه تشغيل برنامج نصي على claude.ai تشغيل مهام Claude لمتصفح Chrome التي تستهدف Gmail الخاص بك وأحدث مستند Google وتعليقاته والتقويم الخاص بك.

يحتاج كل من هذا وClaudeBleed إلى امتداد مخادع يمكنه بالفعل تشغيل برنامج نصي على claude.ai؛ الفرق هو النطاق. قامت Anthropic بتقييد المسار التعسفي في شهر مايو كجزء من استجابتها لخلل ClaudeBleed، حيث قامت بحصر المتصلين الخارجيين في مجموعة ثابتة من المهام، لكن Manifold Security تقول إن الفجوة لا تزال مفتوحة في الإصدار 1.0.80، الإصدار الحالي، وثمانية إصدارات لاحقة.

إذا قمت بتشغيل Claude لمتصفح Chrome وأي امتداد آخر يمكنه لمس claude.ai، فأنت في النطاق. في الوضع الافتراضي “السؤال قبل التصرف”، تظل المهمة المزيفة تصل إلى مربع الموافقة الذي يتعين عليك النقر فوقه.

إذا قمت بتشغيل “التصرف دون أن تطلب”، وهو وضع التشغيل الآلي لعدم التدخل، فسيتم تشغيله دون مطالبة على الإطلاق. أسرع طريقة للحماية هي إيقاف تشغيل “التصرف دون طلب” ومراجعة أي ملحق مع الحصول على إذن لقراءة البيانات أو تغييرها على claude.ai. يؤدي ذلك إلى استعادة خطوة الموافقة ولكنه لا يزيل مسار النقر المزور، ولا يوجد تصحيح اعتبارًا من 14 يوليو.

كشفت Hacker News عن البنية الحالية وأكدت بقاء الآليتين في الإصدار 1.0.80.

يقبل المشغل نقرة مزورة

بعد كلودبليد، توقفت Anthropic عن السماح للصفحة بتسليم كلود أي نص يريده وحصر المتصلين الخارجيين في تسعة معرفات مهام ثابتة مدمجة في حزمة الامتدادات.

ثلاثة منها عبارة عن مطالبات تدريب على الإعداد، وثلاثة منها هي DoorDash وSalesforce وZillow، والثلاثة الأخيرة، usecase-gmail, usecase-gdocs، و usecase-calendar، هم الأشخاص الذين يقرأون بريدك، وأحدث مستند لديك وتعليقاته، والتقويم الخاص بك. القائمة المسموح بها هي تحسن حقيقي. لم تعد الصفحة قادرة على وضع الكلمات في فم كلود.

نقطة الضعف هي التي تضغط الزناد. يستمع نص نصي للمحتوى في الامتداد إلى claude.ai للنقر على عنصر معين (#claude-onboarding-button)، يقرأ لها data-task-id، وإذا كان المعرف واحدًا من المهام التسعة المُدرجة في القائمة المسموح بها، فسيتم إرسال الإضافة open_side_panel رسالة تحملها. يتم فتح اللوحة مع تحميل المطالبة المطابقة. ما يتحقق منه المعالج أبدًا هو event.isTrusted، علامة المتصفح التي تخبر المستخدم الحقيقي بالنقر فوق أحد البرامج النصية التي تم إرسالها.

لذا فإن أي امتداد يمكن أن يصل نص محتواه إلى DOM على claude.ai يمكنه إنشاء العنصر وتعيين معرف المهمة وإرسال نقرة صناعية. يعاملها الامتداد على أنها نقرة حقيقية. أظهر المنوع المشغل بستة أسطر تم لصقها في وحدة التحكم claude.ai، مع isTrusted: false في السجلات التي تؤكد أن النقرة المزيفة تم تكريمها.

مع تشغيل التحكم في المتصفح، فإن الإعداد الافتراضي بمجرد انتهاء الإعداد هو أن النقرة المزورة تقوم بتحميل الملف usecase-gmail المهمة في اللوحة. في الوضع الافتراضي، يظل مربع الموافقة قائمًا بين ذلك وأي قراءة فعلية، ويجب على المستخدم النقر فوقه. يصنف المنوع الخلل CVSS 7.7 مرتفعًا في هذا الوضع، و9.6 حرجًا بمجرد قيام المستخدم بتمكين “التصرف دون طلب”، حيث تعمل نفس المهمة بصمت.

يقول الباحثون إن الإصلاح المكون من سطر واحد يرفض النقرات الاصطناعية في الجزء العلوي من المعالج. لم يتم شحنها.

يوجد عيب أكثر هدوءًا في الأسفل

أما المشكلة الثانية فلا يمكن الوصول إليها عن بعد اليوم، ولكنها هي التي تزيل خطوة الموافقة إذا كشفها خلل آخر. عندما يتم تحميل اللوحة الجانبية لكلود ?skipPermissions=true في عنوان URL الخاص به، يتم تشغيله مباشرة skip_all_permission_checks ويبدأ في التصرف دون أن يطلب ذلك.

لا توجد إيماءة ولا شاشة موافقة. يظهر شعار أحمر يحذر من أن Claude يمكنه الآن اتخاذ معظم الإجراءات عبر الإنترنت، ولكن فقط بعد تشغيل الجلسة المميزة بالفعل. الراية تخبرك بما حدث. لا يمنع ذلك من الحدوث.

في الوقت الحالي، لا يمكن إنشاء عنوان URL هذا إلا من خلال الامتداد نفسه، لذلك لا يوجد مسار بعيد مباشر. قد يؤدي الخطأ المستقبلي الذي يسمح للسياق ذي الامتيازات الأقل بتعيين تلك المعلمة إلى تحويل خدعة النقر المزورة إلى قراءة حساب صامت تمامًا. يمكن أن يتم كشف هذا المسار بواسطة معالج رسائل يقبل عنوان URL، أو انحدار بناء اللوحة، أو خلل XSS في صفحة الخيارات. يتمثل إصلاح المنوع في إيقاف وضع إذن القراءة من عنوان URL وتشغيل اللوحة في وضع السؤال في كل مرة.

يقوم Manifold بتعيين هجوم العمل على OWASP Top 10 لتطبيقات LLM كحقن فوري غير مباشر، حيث يقوم المهاجم بتشغيل إحدى المطالبات التسعة المدرجة في القائمة المسموح بها للملحق بنقرة مزورة، كما أن خطر التنفيذ الصامت للوكالة المفرطة. يتم إعادة إنتاج كلاهما سواء تم ضبط اللوحة الجانبية على Opus أو Sonnet أو Fable. الخلل في الامتداد وليس النموذج

تم الإبلاغ عنه في شهر مايو، ولا يزال موجودًا في رمز الشحن

أبلغ المنوع عن كلتا القضيتين في 21 مايو مقابل الإصدار 1.0.72. اعترفت بهم الأنثروبيك في اليوم التالي، ثم أغلقت كليهما. لقد أغلقت تقرير النقرات المزورة على أساس أن مشكلة حدود الثقة الأساسية قد تم تتبعها بالفعل بموجب تقرير ClaudeBleed السابق، والذي قالت Anthropic إنه “يظل مفتوحًا في انتظار الإصلاح الكامل”.

لقد أغلقت تقرير عنوان URL باعتباره مفيدًا، بحجة أن المعلمة يتم تعيينها فقط بواسطة الامتداد للمهام التي طلب منها المستخدم بالفعل تشغيلها دون مراقبة.

ومع ذلك، تم وضع علامة على التقرير الداخلي الذي يهدف إلى تغطية هذا الإصلاح بأنه قد تم حله قبل 9 يونيو، وبعد ثمانية إصدارات، لم يتم نقل التعليمات البرمجية الضعيفة: فحص المنوع الإصدار 1.0.80 في 7 يوليو وعثر على معالج النقر على النص البرمجي للمحتوى وتهيئة اللوحة الجانبية بايت لكل بايت متطابقة مع الإصدار 1.0.72 الذي تم الإبلاغ عنه لأول مرة.

لم تنشر أنثروبيك ردًا عامًا على النتائج التي توصلت إليها مانيفولد اعتبارًا من 14 يوليو، وما إذا كانت كلمة “تم الحل” تعني أن الإصلاح لا يزال قادمًا أو أن هناك مكالمة مفادها أن المخاطر المتبقية لا تضمن ذلك، فهذا ليس شيئًا يمكن لأي شخص خارج الشركة أن يقوله.

الفحص أظهر ذلك. قامت Hacker News بسحب الإصدار 1.0.80 من سوق Chrome الإلكتروني، والذي تم تحديثه في 7 يوليو، وهو متاح لجميع المشتركين المدفوعين، وفككت حزمته، واستعرضت جميع حزم JavaScript البالغ عددها 90: يتم تشغيل معالج النقرات الإعدادية عند أي نقرة مطابقة بدون event.isTrusted حارس، واللوحة الجانبية تقرأ skipPermissions من عنوان URL الخاص به ويتحول إلى skip_all_permission_checks عندما يتم تعيينه.

اعتبارًا من ذلك التاريخ، لم نعثر على أي مكافحة للتطرف العنيف لأي من القضيتين ولم نعثر على أي استشارة من Anthropic.

لا شيء من هذا جديد بالنسبة للتمديد. هناك خلل منفصل تم تصحيحه في وقت سابق من هذا العام يسمح لأي موقع ويب بإدخال المطالبات فيه بصمت، وبدأ ClaudeBleed بنفس الطريقة في أواخر أبريل، عندما اكتشف LayerX أن Claude for Chrome يثق في أصل claude.ai بدلاً من التحقق من البرنامج النصي الذي كان يتحدث إليه بالفعل، مما أدى إلى طرد المساعد من امتداد بدون إذن، ووجد أن عملية التخفيف الأولى من Anthropic غير مكتملة.

وصف LayerX برنامج ClaudeBleed بأنه مشكلة نائب مشوش، وهو برنامج يتمتع بسلطة حقيقية يتصرف لصالح المتصل الخطأ. لقد أظهر كلود كود نسخة من نفس الفشل: يمكن لمستودع معادٍ أن يقوم بتصفية مفاتيح Anthropic API الخاصة بالمطور. تطلق Anthropic على الامتداد اسم تجريبي، وهو مفتوح لكل مشترك مدفوع الأجر في Claude.

ضع وكيل الذكاء الاصطناعي في متصفحك مع تسجيل الدخول إلى حساباتك بالفعل، ويمكن أن يؤدي ملحق آخر يمكنه الوصول إليه إلى تعزيز القدرات التي يكشفها كلود، ضمن مجموعة المهام الثابتة وأي وضع موافقة قمت بتعيينه.

كلا النتيجتين تضعف نفس الحدود: يقبل كلود النقرة التي ينشئها البرنامج النصي باعتبارها هدفك، ويمكن تعيين حالة الإذن الخاصة بها من عنوان URL. بعد مرور ثمانية إصدارات، لا تزال هذه الحدود حيث تركها مانيفولد في مايو.

شاركها.
اترك تعليقاً