AnthropicのClaude Chrome拡張機能に、Webページを訪問するだけで攻撃が成立する重大な脆弱性が存在していたことが明らかになりました。「ShadowPrompt」と名付けられたこの脆弱性は、300万人以上のユーザーに影響を与える可能性があり、2月19日に修正が完了しています。
ShadowPromptは2つの欠陥を連鎖させた攻撃手法です。1つ目は、拡張機能のオリジン許可リストが「*.claude.ai」パターンにマッチする任意のサブドメインからのプロンプト実行を許可していたこと。2つ目は、「a-cdn.claude.ai」でホストされていたArkose LabsのCAPTCHAコンポーネントに存在したDOM型XSS(クロスサイトスクリプティング)脆弱性です。これらを組み合わせることで、攻撃者は任意のWebサイトから、ユーザーの操作なしにClaudeアシスタントへプロンプトを注入できました。
サイバーセキュリティ専門家は「クリック不要、許可プロンプトなし。ページを開くだけで攻撃者がブラウザを完全制御できる」と警告しています。攻撃が成功した場合、Gmailのアクセストークン窃取、Google Driveファイルの読み取り、会話履歴のエクスポート、さらには被害者になりすましたメール送信まで可能でした。Hacker Newsでは「クリック不要、許可プロンプトなし。ページを開くだけで攻撃者がブラウザを完全制御」との衝撃的な指摘が話題となり、Redditでは「AIアシスタント拡張機能のセキュリティモデル全体への疑問」が噴出しています。
Anthropicは2025年12月27日の責任ある開示を受け、Chrome拡張機能バージョン1.0.41でドメイン「claude.ai」への厳密な一致チェックを実装。Arkose Labsも2月19日にXSS脆弱性を修正しました。ユーザーは chrome://extensions から拡張機能のバージョンが1.0.41以上であることを確認することが推奨されています。この事例は、AIアシスタントがブラウザ権限を拡張する際の新たなセキュリティリスクを浮き彫りにしています。