क्रोम एक्स्टेंशनमधील अँथ्रोपिक क्लॉड अपहरणासाठी असुरक्षित, संशोधकांनी चेतावणी दिली की क्लॉडब्लीड दोष Gmail, Google ड्राइव्ह डेटा उघड करू शकतो
अँथ्रोपिकच्या AI-पॉवर्ड क्लॉड इन क्रोम एक्स्टेंशनची छाननी करण्यात आली आहे कारण सुरक्षा संशोधकांनी असा दावा केला आहे की टूलमधील त्रुटी दुर्भावनापूर्ण Chrome विस्तारांना क्लॉडच्या ब्राउझर ऑटोमेशन क्षमतेचे शोषण करू शकते. CSO ऑनलाइन आणि LayerX संशोधकांच्या अहवालानुसार, ‘ClaudeBleed’ नावाचा हा मुद्दा हल्लेखोरांना अगदी कमी किंवा विशेष परवानग्या नसलेल्या ब्राउझर विस्तारांसह क्लॉडद्वारे क्रिया सुरू करण्यास अनुमती देऊ शकतो.
संशोधकांनी आरोप केला आहे की या त्रुटीचा संभाव्यतः संवेदनशील माहिती ऍक्सेस करण्यासाठी, ईमेल पाठवण्यासाठी किंवा Gmail, Google Drive आणि GitHub सारख्या सेवांवर प्रमाणीकृत ब्राउझर सत्रांशी संवाद साधण्यासाठी केला जाऊ शकतो. ही भेद्यता एआय ब्राउझर एजंट्सशी संबंधित उदयोन्मुख धोके हायलाइट करते ज्यांच्याकडे वापरकर्ता सत्रे आणि क्रॉस-साइट ऑटोमेशन वैशिष्ट्यांचा खोलवर प्रवेश आहे. सायबरसुरक्षा इशारा: सिल्व्हरफॉक्स ग्रुपने ‘ABCDoor’ पायथन बॅकडोअर वापरून जागतिक फिशिंग हल्ले सुरू केले, भारतीय कंपन्यांना लक्ष्य केले.
क्लॉडब्लीड असुरक्षा स्पष्ट केली
LayerX संशोधक Aviad Gispan यांच्या मते, क्लॉड एक्स्टेंशन claude.ai वर चालणाऱ्या स्क्रिप्ट्स आणि एक्स्टेंशनमधील संवाद कसे हाताळते यावरून ही समस्या उद्भवली आहे. संशोधकांनी दावा केला की विस्तार Chrome च्या ‘externally_connectable’ वैशिष्ट्यावर अवलंबून आहे, जे वेबसाइट्स किंवा इतर विस्तारांना ब्राउझर विस्तारांशी संवाद साधण्याची परवानगी देते.
तथापि, क्लॉड विस्ताराने कथितपणे claude.ai ब्राउझर मूळ अंतर्गत चालणाऱ्या स्क्रिप्ट्सवर विश्वास ठेवला आहे की त्या स्क्रिप्ट्स खरोखर अँथ्रोपिकमधून आल्या आहेत किंवा दुसऱ्या विस्ताराद्वारे इंजेक्ट केल्या गेल्या आहेत याची पुरेशी पडताळणी न करता. परिणामी, अगदी शून्य-परवानगीचा विस्तार देखील क्लॉडच्या अंतर्गत मेसेजिंग इंटरफेसवर कमांड पाठवू शकतो आणि निवडक ब्राउझर क्षमतांवर नियंत्रण मिळवू शकतो, ज्यामुळे Chrome चे विस्तार अलगाव मॉडेल प्रभावीपणे कमकुवत होते.
संकल्पना हल्ल्याच्या परिस्थितीचा पुरावा
संशोधकांनी दोषाचा गैरवापर कसा केला जाऊ शकतो हे दर्शविण्यासाठी संकल्पनेच्या अनेक पुराव्या हल्ल्याच्या परिस्थितीचे प्रात्यक्षिक केले. यामध्ये Google ड्राइव्ह फायली बाहेरून सामायिक करणे, Gmail द्वारे ईमेल पाठवणे, खाजगी GitHub रेपॉजिटरीजमधून कोड काढणे आणि क्रियाकलापाचे ट्रेस हटवण्यापूर्वी इनबॉक्स संदेशांचा सारांश करणे समाविष्ट आहे.
शिवाय, क्लॉडने ब्राउझर इंटरफेसचा कसा अर्थ लावला हे प्रभावित करण्यासाठी संशोधक वेबपृष्ठ घटक हाताळण्यास सक्षम होते. वेबपृष्ठांमध्ये बटणे बदलून किंवा चेतावणी संकेतक लपवून, आक्रमणकर्ते संभाव्यत: धोकादायक कृती AI सहाय्यकाला सुरक्षित वाटू शकतात. ‘मंजुरी लूपिंग’ म्हणून संदर्भित एक तंत्र देखील ओळखले गेले, जेथे वारंवार प्रॉम्प्ट क्लॉडच्या काही पुष्टीकरण सुरक्षा उपायांना कमकुवत करू शकतात.
मानववंशीय पॅच आणि उर्वरित चिंता
27 एप्रिल रोजी या समस्येचा अहवाल Anthropic ला देण्यात आला आणि कंपनीने 6 मे रोजी या समस्यांचे निराकरण करण्यासाठी विस्ताराची 1.0.70 आवृत्ती जारी केली. रिमोट कमांडची अंमलबजावणी रोखण्याच्या उद्देशाने अद्यतनाने अतिरिक्त अंतर्गत सुरक्षा तपासणी आणि मंजुरी प्रवाह सादर केला. तथापि, लेयरएक्स संशोधकांचा दावा आहे की निराकरण केवळ अंशतः अंतर्निहित समस्येचे निराकरण करते. टेक लेऑफ 2026: या वर्षात आतापर्यंत 120 कंपन्यांमध्ये 101,550 हून अधिक कर्मचाऱ्यांना नोकऱ्या कपातीचा फटका; Cloudflare 1,100 कपातीसह यादीत सामील झाले.
लेयरएक्सचा आरोप आहे की काही आक्रमण मार्ग शक्य आहेत, विशेषत: स्वायत्त ब्राउझिंग सेटिंग्ज जसे की ‘विना विचारता कृती करा’. संशोधकांनी टूलला अधिक सुरक्षित करण्यासाठी कठोर विस्तार प्रमाणीकरण आणि एक-वेळच्या कृतींना बंधनकारक मंजुरीची शिफारस केली आहे. AI सहाय्यकांना अधिक स्वायत्तता मिळत असल्याने, सुरक्षा तज्ञ वापरकर्त्यांना ब्राउझर-आधारित एजंटना दिलेल्या परवानग्यांबद्दल सावध राहण्याचे आवाहन करतात.
(वरील कथा 11 मे 2026 रोजी 04:35 PM IST ला LatestLY वर प्रथम दिसली. राजकारण, जग, क्रीडा, मनोरंजन आणि जीवनशैलीवरील अधिक बातम्या आणि अद्यतनांसाठी, आमच्या वेबसाइटवर लॉग इन करा latest.com).
