Claude хиймэл оюуны "extension"-н суулгасан Google Chrome хөтчөөр дамжуулан ямар ч хамаагүй веб сайт руу хандахад хэрэглэгчийн оролцоогүйгээр хиймэл оюуны агент руу оролтыг илгээдэг аюулгүй байдлын алдааг судлаачид илрүүлсэн байна. Энэхүү ShadowPrompt гэх алдаа нь халдлага үйлдэгч этгээдэд амжилттай ашиглагдсан тохиолдолд хохирогчийн ямар нэг үйлдэл шаардахгүйгээр тус агентыг ашиглан өгөгдөл хулгайлах, мэйл илгээх зэрэг үйлдлүүдийг хийж чадаж аж.

Энэхүү алдаа нь хэт их зөвшөөрөгдсөн домэйн хаяг (hxxps://*.claude.ai) болон CAPTCHA үйлчилгээ дэх DOM (Document Object Model)-д суурилсан XSS (cross-site scripting) эмзэг байдлаас үүссэн бөгөөд одоогийн байдлаар тус асуудлыг засварласан байна.

Иймд судлаачид ашиглаж буй Chrome хөтчийн "extension"-г тогтмол шинэчлэж байхыг зөвлөв.

Эх сурвалж: thehackernews