«Проверено, мин нет» Расширение для браузера Google Chrome от разработчиков генеративного ИИ Claude, компании Anthropic, содержало уязвимость, которая позволяла перехватывать контроль над браузером без какого-либо участия пользователя.CNews
XSS-уязвимость допускает запуск произвольного кода JavaScript в контексте a-cdn.claude.ai.CNews
Без слепого доверия Anthropic получили сведения о проблеме в конце декабря 2025 года, и к настоящему времени же обновили расширение до версии 1.0.41, где реализована более строгая проверка доменного источника промптов.CNews
В LayerX приводят несколько причин, по которым классифицируют брешь как «серьёзную» и «труднообнаружимую», в том числе отсутствие необходимости в каких-либо разрешениях и во взаимодействии с пользователем, а также цепочек эксплойтов или уязвимостей.BIS Journal
Источники: