A extensão oficial do Claude para o Google Chrome tinha uma falha que transformava navegação comum em risco de segurança. Na verdade, bastava visitar uma página para que um atacante assumisse o controle do assistente de IA da vítima, injetando comandos como se fossem dela.
A vulnerabilidade em cadeia, batizada de ShadowPrompt, foi corrigida na versão 1.0.41 da extensão após divulgação responsável feita em dezembro de 2025.
Antrhopic corrigiu falha na extensão
A Anthropic recebeu o relatório de divulgação responsável entre os dias 26 e 27 de dezembro de 2025 e publicou uma correção na versão 1.0.41 da extensão.
O componente externo envolvido na cadeia, um CAPTCHA da Arkose Labs hospedado em subdomínio da Anthropic, também foi corrigido em 19 de fevereiro de 2026.
Como a cadeia de ataque funcionava
O ShadowPrompt combinava dois problemas distintos para criar um vetor de ataque sem interação do usuário, o que os pesquisadores chamam de zero-click.
O primeiro era uma vulnerabilidade de DOM-based XSS no componente de CAPTCHA da Arkose Labs, hospedado em a-cdn.claude.ai. O segundo era um problema de validação de origem na própria extensão do Chrome.
Ela aceitava mensagens de qualquer subdomínio correspondente ao padrão *.claude.ai, sem verificação mais restrita.
Para executar o ataque, um agente malicioso precisava apenas publicar uma página que carregasse o CAPTCHA vulnerável em um iframe oculto. Via postMessage, o atacante disparava o XSS nesse contexto, executando JavaScript sob a origem a-cdn.claude.ai.
Como essa origem se enquadrava no padrão confiável da extensão, o script conseguia enviar um prompt fabricado que o Claude recebia e processava como se tivesse sido digitado pelo próprio usuário.
O que um atacante podia fazer após a injeção
Com a capacidade de injetar prompts arbitrários na extensão autenticada da vítima, os impactos documentados incluem acesso ao histórico de conversas do Claude. Também incluía caminhos para comprometimento de tokens de sessão e execução de ações em nome do usuário. O exemplo citado na pesquisa foi o envio de e-mails se passando pela vítima.
O ponto central não é apenas a injeção de prompt em si. É o fato de que extensões de IA no navegador operam com acesso a sessões autenticadas e histórico de interações.
Quando um atacante consegue fornecer entradas que a extensão trata como intenção do usuário, uma visita a uma página se transforma em comprometimento de fluxos de trabalho e dados sensíveis.
Quem estava em risco
Qualquer usuário com a extensão do Claude instalada no Chrome e ativa durante a navegação estava potencialmente exposto enquanto a falha permanecia sem correção.
Ambientes corporativos com acesso a sistemas críticos, como suporte, finanças, administração de identidade, representavam risco amplificado. Isso porque o assistente teria acesso a contextos privilegiados.
Não há confirmação pública de exploração ativa ou atribuição a atores de ameaça específicos. A ausência de exploração confirmada, porém, não equivale à ausência de risco.A cadeia usava técnicas bem conhecidas, e a divulgação pública pode aumentar o interesse de atacantes.
As correções da Anthropic
Dois componentes receberam patches:
A Arkose Labs corrigiu a vulnerabilidade de XSS no CAPTCHA em 19 de fevereiro de 2026.
A Anthropic publicou a versão 1.0.41 da extensão para Chrome, substituindo a validação por padrão de subdomínio (*.claude.ai) por correspondência exata com claude.ai.
Mesmo com o XSS corrigido no componente externo, a atualização da extensão permanece prioritária. Cadeias de ataque como essa precisam de apenas um elo fraco remanescente para funcionar, e restringir o perímetro de confiança da extensão reduz a exposição a vulnerabilidades similares de origem em subdomínios.
O que fazer para se proteger
Para usuários individuais, a ação imediata é verificar se a extensão do Claude está na versão 1.0.41 ou superior e atualizar caso necessário.
Para equipes de segurança, o caso reforça a necessidade de tratar extensões de browser com capacidades de IA como ativos de alto risco. Isso inclui manter inventário de quais usuários utilizam assistentes de IA no Chrome e aplicar políticas de versão mínima em endpoints gerenciados.
Monitorar atividade anômala de extensões após visitas a sites não confiáveis, especialmente em fluxos que envolvam iframes e mensagens cross-origin também pode ser uma boa alternativa.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.