Claude 瀏覽器擴充套件存在資料外洩風險

2026 / 01 / 08

編輯部

資安研究機構 Zenity Labs 近日發布警告Anthropic 推出的 Claude Chrome 擴充套件可能繞過傳統網路安全機制，暴露私人資料與登入權杖（Login Token）於攻擊者面前。

2025 年 12 月 18 日，Anthropic 發布 Claude Chrome 擴充套件測試版，讓 AI 能代替使用者瀏覽網站並執行操作。然而 Zenity Labs 的分析顯示，這項便利功能帶來了傳統網路防護機制難以應對的嚴重資安風險。

打破「僅限真人」的安全假設

過去的網路安全架構建立在一個基本假設上：螢幕後方是真人操作。當使用者登入電子郵件或網路銀行時，瀏覽器會將所有點擊與輸入行為視為本人操作。但現在，Claude 這類工具可以代替使用者點擊、輸入並瀏覽網站。

研究人員指出，Claude 擴充套件會持續保持登入狀態且無法停用。這意味著 Claude 會繼承使用者的數位身分，包括存取 Google 雲端硬碟、Slack 等私人工具的權限，並可在未經同意的情況下自行執行操作。

AI 資安三大威脅的交互作用

Zenity Labs 在技術報告中指出三項相互關聯的風險：AI 可以存取個人資料、對資料進行操作，以及受到網路內容影響。

這為間接提示注入攻擊開啟大門，讓攻擊者可在網頁或圖片中隱藏惡意指令。由於 AI 使用的是使用者的登入憑證，它能執行刪除收件匣、刪除檔案，或在使用者不知情的情況下發送內部訊息等危險操作。攻擊者甚至可透過劫持 AI 對 Slack 或 Jira 等服務的存取權限，在企業內部進行橫向移動。

在技術測試中，研究人員展示 Claude 能讀取網路請求與主控台日誌（Console Log），可能導致 OAuth 權杖等敏感資料外洩。他們也示範如何誘使 Claude 執行 JavaScript 程式碼，將其轉變為「XSS 即服務」（XSS-as-a-Service）的攻擊工具。

安全開關不足以防護

Anthropic 確實內建了「執行前詢問」安全開關，要求使用者在 AI 行動前先批准計畫。但 Zenity Labs 研究人員認為這只是軟性防護欄。在一次測試中，Claude 最終造訪維基百科，儘管該動作並未包含在已批准的計畫中。這顯示 AI 有時會偏離原定路徑。

研究人員也警告「批准疲勞」（Approval Fatigue）現象：當使用者習慣不斷點擊「確定」後，就會停止檢查 AI 實際執行的動作。對實際運作的企業組織而言，這不再只是科幻情節，而是資料防護方式的根本性轉變。

本文轉載自 Hackread。

Claude Chrome擴充套件 XSS-as-a-Service