Giriş
Anthropic’in Claude Google Chrome uzantısında tespit edilen bir güvenlik açığı, yalnızca bir web sayfasını ziyaret ederek kötü niyetli komutların tetiklenmesine olanak tanıyordu. Bu durum, siber güvenlik uzmanları tarafından büyük bir tehdit olarak değerlendiriliyor.
Saldırı Nasıl Çalışıyor?
Açık, iki temel zafiyetten kaynaklanıyor:
- Uzantının, “claude.ai” desenine uyan her alt alanın komut göndermesine izin veren aşırı permissif bir kaynak izin listesinin bulunması.
- “a-cdn.claude[.]ai” üzerinde barındırılan bir Arkose Labs CAPTCHA bileşenindeki belge nesne modeli (DOM) tabanlı bir cross-site scripting (XSS) zafiyeti.
Bu XSS zafiyeti, “a-cdn.claude[.]ai” bağlamında rastgele JavaScript kodunun çalıştırılmasına olanak tanır. Kötü niyetli bir aktör bu davranışı, uzantıya komut göndermek için kullanabilir.
Etkilenen Sistemler
Başarılı bir saldırı, aşağıdaki potansiyel sonuçları doğurabilir:
- Hassas verilerin çalınması (örneğin, erişim jetonları).
- Aİ ajansı ile olan konuşma geçmişine erişim.
- Kurban adına e-posta gönderimi gibi eylemlerin gerçekleştirilmesi.
Çözüm ve Korunma
Sorumlu bir şekilde bildirilen bu açığın ardından, 27 Aralık 2025 tarihinde Anthropic, Chrome uzantısında bir yamanın uygulanmasını sağladı. Bu yamanın amacı, “claude[.]ai” domainine tam eşleşme gerektiren katı bir kaynak kontrolü sağlamaktır. Arkose Labs ise 19 Şubat 2026 tarihinde XSS açığını kapattığını duyurdu.
Sonuç
Kullanıcıların, Anthropic Claude Chrome uzantısını güncellemeleri ve sistemlerini korumak amacıyla geçerli bir güvenlik duvarı ve güvenli web tarayıcı ayarları kullanmaları önemlidir. Ayrıca, aygıtlarını güncel tutarak siber tehditlere karşı önlem almak hayati önem taşımaktadır.
