Claude拡張機能に深刻な脆弱性 無権限でAI操作を乗っ取り可能：AI開発競争の弊害

LayerX Securityは、Claude for Chromeに外部拡張機能からAI操作を乗っ取れる脆弱性「ClaudeBleed」が存在すると公表した。送信元検証不備が原因で、GmailやGoogle Driveの操作が可能となり、修正版を公開した後も問題は残存しているという。

[＠IT]

　LayerX Securityは2026年5月7日（米国時間）、Anthropicが提供する「Google Chrome」用拡張機能「Claude for Chrome」において、攻撃者がユーザーの意図に反して対話型AIを操作できる重大な脆弱（ぜいじゃく）性を発見したと公表した。

　この脆弱性は「ClaudeBleed」として公表され、セキュリティの信頼境界に関する設計ミスが原因となっている。

Claude拡張機能に脆弱性　修正後も根本原因は残存

　調査によると、この脆弱性は特別な権限を一切持たないサードパーティー製の拡張機能であっても、「Claude」の拡張機能を実質的に乗っ取れるとしている。攻撃者は悪意のある指示を注入することで、ユーザーに代わってClaudeに代理アクションを実行させたり、機密情報を抽出できたりするとされる。

　LayerX Securityはこの問題をAnthropicに報告した。同社は既知の問題であるとして修正版（バージョン1.0.70）を公開したが、報告によれば、この修正は根本原因を解決しておらず、依然として脆弱性を利用した攻撃が可能だという。

　この問題の核心は、Webブラウザの拡張機能設定ファイル「manifest」内の「externally_connectable」という項目にある。この設定により、特定のドメイン（claude.ai）で動作するスクリプトが拡張機能と通信することを許可していた。

　しかし拡張機能側が「誰がそのスクリプトを実行しているか」を検証せず、送信元のドメイン名のみを信頼していた。その結果、別の拡張機能が「claude.ai」のページ内にJavaScriptを注入した場合、Claudeの拡張機能はそのスクリプトを正当なものと誤認し、特権的なコマンドを受け入れてしまう。

　Anthropicは修正で、権限が必要な操作をする際にサイドパネルで承認を求めるフローを追加した。通常モードにおいてはこれによってプログラムによる自動承認が困難になった。しかし、Claudeには利便性のために「Act without asking（特権モード）」という設定が存在する。攻撃者がこのモードへの切り替えを検知、もしくはサイドパネルの初期化プロセスを悪用して別の特権実行コンテキストを開始した場合、追加されたセキュリティチェックは無効化される。

　この他、AIが画面の情報を読み取って判断する仕組みを逆手に取り、UIの「共有」ボタンを「フィードバック」と書き換えるなどの工作をすることで、AIに「無害な操作である」と誤認させる手法も確認された。

　今回の事例はAIツールの開発競争において、生産性や自動化が優先された結果、基礎的なセキュリティ設計が後回しにされている現状を浮き彫りにした。送信元のドメインを信頼するだけでなく、通信相手の実行コンテキストを厳格に認証する仕組みが不可欠だ。LayerX Securityは「外部メッセージの検証を強化し、ユーザーの承認フローを暗号学的もしくは意味論的に操作内容と結び付けるべきだ」と指摘している。