Artificial Intelligence (AI)Security

Celah Claude for Chrome Bisa Dipicu Ekstensi Berbahaya untuk Menjalankan Aksi AI

Peneliti keamanan mengungkap celah pada ekstensi Claude for Chrome yang memungkinkan ekstensi browser berbahaya memicu aksi AI tertentu tanpa interaksi klik asli dari pengguna. Masalah ini menyoroti risiko baru pada integrasi AI agent di browser, terutama ketika sebuah ekstensi diberi akses untuk membaca halaman dan menjalankan alur kerja otomatis.

Temuan tersebut berkaitan dengan cara Claude for Chrome menangani event klik untuk memulai sejumlah workflow bawaan. Dalam skenario serangan, ekstensi Chrome berbahaya yang sudah terpasang di perangkat korban dapat menyisipkan elemen ke halaman Claude, lalu mengirimkan synthetic click untuk memicu tugas tertentu yang sebelumnya sudah disediakan oleh ekstensi tersebut.

Secara teknis, browser membedakan klik asli pengguna dan klik buatan script melalui properti Event.isTrusted. Klik yang benar-benar berasal dari pengguna akan bernilai trusted, sementara klik yang dibuat oleh JavaScript tidak. Namun, pada kasus ini, handler di Claude for Chrome dilaporkan tidak memverifikasi nilai tersebut sebelum memproses perintah.

Kondisi itu membuat ekstensi berbahaya yang memiliki izin berjalan di domain Claude dapat memicu workflow tertentu. Serangan ini tidak memberikan kemampuan prompt injection bebas, tetapi tetap berisiko karena workflow yang tersedia dapat menyentuh layanan yang sudah terhubung dengan akun pengguna.

Sejumlah workflow yang disebut dalam laporan mencakup aktivitas pada Gmail, Google Docs, Google Calendar, Salesforce, DoorDash, Zillow, serta beberapa tugas latihan internal. Pada contoh yang lebih sensitif, workflow dapat membaca email promosi di Gmail, membuka Google Docs terbaru dan membaca komentar, mencari slot kosong di Google Calendar lalu membuat jadwal, atau mengubah data lead di Salesforce.

Dampaknya bergantung pada konfigurasi ekstensi dan izin yang diberikan pengguna. Dalam mode standar, Claude masih dapat menampilkan permintaan persetujuan sebelum aksi dijalankan. Namun, risikonya meningkat signifikan apabila pengguna mengaktifkan opsi Act without asking, karena aksi yang dipicu bisa berjalan tanpa konfirmasi tambahan.

Peneliti juga menyoroti kelemahan desain lain pada parameter internal skipPermissions=true di panel samping ekstensi. Parameter tersebut disebut dapat memulai mode dengan pemeriksaan izin yang lebih longgar, meski pada versi yang diuji belum bisa dieksploitasi secara langsung dari jarak jauh tanpa digabungkan dengan celah lain.

Laporan awal disampaikan kepada Anthropic pada 21 Mei 2026 terhadap Claude for Chrome versi 1.0.72. Peneliti kemudian menyatakan bahwa perilaku serupa masih dapat direproduksi pada versi 1.0.80 yang dirilis pada 7 Juli 2026.

Kasus ini menjadi pengingat bahwa ekstensi AI agent perlu memperlakukan input dari halaman dan ekstensi lain sebagai permukaan serangan. Validasi event, pembatasan izin, serta konfirmasi eksplisit untuk aksi sensitif menjadi bagian penting agar integrasi AI di browser tidak berubah menjadi jalur otomatisasi yang dapat disalahgunakan.

Pengguna disarankan untuk hanya memasang ekstensi dari pengembang tepercaya, meninjau ekstensi yang memiliki akses ke domain Claude, membatasi koneksi ke layanan sensitif, dan berhati-hati sebelum mengaktifkan fitur yang memungkinkan AI bertindak tanpa konfirmasi. Pembaruan ekstensi juga perlu dipasang segera ketika perbaikan tersedia.

Sumber: ClaudeBleed Reopened: Browser Extensions Can Still Push Claude for Chrome to Read Your Gmail

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button