🚨 Alerta de Seguridad GoPlus:

Vulnerabilidad Crítica de Inyección de Prompts en la Extensión de Chrome de Anthropic #Claude

Severidad: Crítica
Componente Afectado: Extensión de Chrome de Anthropic Claude (versiones < 1.0.41)

Descripción General:
Los atacantes pueden secuestrar la extensión Claude a través de sitios web maliciosos e inyectar prompts maliciosos, tomando el control de las sesiones del navegador y robando datos sin que el usuario se entere.

Flujo del Ataque:
La víctima visita un sitio web malicioso
➔ El sitio carga silenciosamente un iframe que contiene una vulnerabilidad XSS
➔ La carga útil maliciosa se inyecta y ejecuta dentro del dominio a-cdn.claude[.]ai
➔ Al abusar de la lista blanca de subdominios de confianza, los atacantes envían prompts maliciosos directamente a la extensión Claude y provocan la ejecución automática

Impacto:

Los atacantes pueden manipular la extensión Claude para leer los archivos de Google Drive de los usuarios, robar tokens comerciales o exportar el historial de chat.

También pueden tomar el control de la sesión activa del navegador y realizar acciones sensibles (por ejemplo, enviar correos electrónicos) bajo la identidad de la víctima.

⚠️ Sin conciencia del usuario. No se requiere autorización. No se necesitan clics.

#Recomendaciones de Seguridad GoPlus:
• Actualice la extensión Claude a la versión 1.0.41 o posterior
• Manténgase alerta contra enlaces de phishing de fuentes desconocidas
• Las aplicaciones de Agente de IA deben seguir el Principio de Menor Privilegio
• Introducir verificación humana en el bucle para operaciones de alto riesgo

🔗 Más detalles: