Pesquisadores da LayerX descobriram uma vulnerabilidade grave na extensão Claude for Chrome que permite que outras extensões do navegador assumam o controle do assistente de inteligência artificial da Anthropic.
A falha, apelidada de ClaudeBleed, possibilita que extensões maliciosas executem ações sensíveis em nome do usuário, incluindo leitura e compartilhamento de arquivos do Google Drive, envio de e-mails, acesso a repositórios privados e coleta de dados pessoais — tudo sem necessidade de permissões especiais no navegador.
Segundo os pesquisadores, o problema continua parcialmente explorável mesmo após uma atualização de segurança liberada pela Anthropic em 6 de maio de 2026.
A extensão Claude for Chrome foi criada para integrar o assistente de IA diretamente ao navegador, permitindo interações com serviços como Gmail, Google Drive e páginas abertas pelo usuário. Em modo operacional normal, o Claude pode resumir e-mails, abrir documentos, compartilhar arquivos e automatizar tarefas diretamente na interface do navegador.
O problema identificado pela LayerX está relacionado à configuração internally chamada externally_connectable, utilizada pela extensão para permitir comunicação entre o site claude.ai e o próprio plugin do navegador.
Segundo os pesquisadores, a extensão verifica apenas a origem da mensagem recebida, mas não autentica corretamente quem enviou o comando. Isso abre espaço para que qualquer outra extensão instalada no Chrome injete scripts dentro do contexto do site do Claude e envie comandos privilegiados diretamente ao assistente.
Na prática, uma extensão maliciosa consegue se passar por uma instrução legítima e induzir o Claude a executar ações sem que o usuário perceba.
Para demonstrar o impacto, a LayerX criou uma extensão experimental sem nenhuma permissão declarada. Mesmo assim, os pesquisadores conseguiram fazer o Claude abrir um arquivo chamado “Top Secret” no Google Drive e compartilhá-lo automaticamente com um endereço externo.
Outras demonstrações incluíram envio de e-mails pelo Gmail, roubo de código-fonte de repositórios privados no GitHub e leitura das últimas mensagens do usuário com posterior envio dos dados para servidores externos.
Os pesquisadores também mostraram como conseguiram contornar os mecanismos de segurança do Claude.
O primeiro método foi chamado de “approval looping”. Nesse ataque, o script envia respostas automáticas repetidas como “Sim, pode continuar” até que o Claude interprete aquilo como uma confirmação válida do usuário.
Segundo a análise, o sistema da Anthropic valida apenas se houve uma resposta positiva, sem confirmar se a interação partiu realmente do usuário humano.
O segundo método utilizou manipulação de DOM, técnica que altera elementos visuais da página exibida ao assistente. Como o Claude toma decisões com base na interface que “enxerga”, os pesquisadores renomearam um botão de “Compartilhar” para “Solicitar feedback”. O assistente então clicou no botão acreditando executar uma ação inofensiva, mas acabou compartilhando o arquivo externamente.
A LayerX informou ter reportado o problema à Anthropic em 27 de abril de 2026. Segundo os pesquisadores, a empresa respondeu afirmando que já estava ciente da vulnerabilidade e trabalhava em uma correção.
Em 6 de maio, a Anthropic lançou a versão 1.0.70 da extensão, adicionando novas telas de confirmação para ações sensíveis. No entanto, os pesquisadores afirmam que a correção resolve apenas parte do problema.
A falha persiste porque o Claude possui dois modos de operação: o modo padrão “Ask before acting”, que exige aprovação do usuário, e o modo privilegiado “Act without asking”, onde o assistente pode agir autonomamente.
Segundo a LayerX, uma extensão maliciosa consegue ativar silenciosamente o modo privilegiado durante o fluxo de inicialização do painel lateral da extensão, criando uma sessão paralela do Claude sem que o usuário perceba.
Com isso, os ataques continuam possíveis mesmo após a atualização.
Os pesquisadores afirmam que a causa raiz permanece sem solução porque a arquitetura da extensão continua confiando apenas na origem da mensagem recebida, sem autenticação robusta do remetente.
Na avaliação da LayerX, o comportamento viola o próprio modelo de segurança do Google Chrome, que foi projetado justamente para impedir que extensões compartilhem privilégios entre si.
Especialistas alertam que o caso evidencia um novo desafio para assistentes de IA integrados ao navegador: quanto maior o nível de acesso concedido à inteligência artificial, maior também o impacto potencial de falhas de isolamento e autenticação entre extensões e serviços conectados.
