Claude for Chromeの脆弱性、8回のパッチを経ても未修正-他の拡張機能がGmail・カレンダーを読み取り可能に

セキュリティニュース

投稿日時: 更新日時:

Claude for Chromeの脆弱性、8回のパッチを経ても未修正-他の拡張機能がGmail・カレンダーを読み取り可能に

AIセキュリティ企業Manifoldは、Anthropicが提供するエージェント型ブラウザ拡張機能「Claude for Chrome」において、2026年5月に報告した2件の脆弱性が、最新バージョン(v1.0.80)でも依然として悪用可能な状態にあると公表しました。

当サイトでも2026年5月、同拡張機能に関する「ClaudeBleed」と呼ばれる信頼境界の欠陥をお伝えしましたが、今回の報告はその関連問題が、その後8回のバージョンアップを経てもなお解消されていないことを示すものです。

サマリー

  • AIセキュリティ企業Manifoldは、2026年5月21日にAnthropicへ報告した2件の脆弱性が、2026年7月7日リリースの最新版v1.0.80においても再現可能であることを確認したと公表した
  • 1つ目の脆弱性は、他のChrome拡張機能がわずか数行のJavaScriptで偽のクリックイベントを発生させ、Claude for Chromeに9種類のあらかじめ許可されたタスク(Gmailの閲覧、Googleドキュメントの閲覧、カレンダーの閲覧を含む)のいずれかを、ユーザーの認識なしに実行させられるというもの。「操作前に確認する」設定では承認ポップアップが表示されるが、「確認なしで実行する」設定が有効な場合は、完全に無警告で実行される。この場合の深刻度はCVSS 9.6(Critical)と評価されている
  • 2つ目の脆弱性は構造的な問題で、Claudeのサイドパネルが特定のURLパラメータ(?skipPermissions=true)を読み込むだけで、ユーザーの操作を一切介さずに無承認の特権モードへ移行してしまうというもの。現時点では拡張機能自身しかこのURLを生成できないため直接の悪用は困難だが、将来別の脆弱性と組み合わされば深刻な被害につながりかねないと指摘されている
  • これら2つの脆弱性は、2026年5月にセキュリティ企業LayerXが報告した「ClaudeBleed」に関連する問題である。AnthropicはClaudeBleedへの対応として、外部から呼び出せるタスクを9種類の固定タスクIDに限定する修正をv1.0.70で導入したが、これはあくまで暫定的な緩和策と位置づけられていた
  • Manifoldの報告によれば、Anthropicは報告翌日にこれを確認したものの、既存のClaudeBleed報告に含まれる問題として一方の指摘を処理し、もう一方は「参考情報」として扱ったうえで、2026年6月9日より前に内部的に「解決済み」のステータスへ変更していた。しかし7月7日リリースのv1.0.80を検証した結果、該当するコンテンツスクリプトのクリックハンドラーおよびサイドパネルの初期化処理は、最初に報告した際のv1.0.72とバイト単位で同一だったとしている
  • 本稿執筆時点で、Anthropicから今回の指摘に対する公式な見解は公表されていない
項目 内容
報告日 2026年5月21日(Manifoldがv1.0.72に対して報告)
最新確認日 2026年7月7日(v1.0.80で再現性を確認)
対象製品 Claude for Chrome(Anthropicのエージェント型ブラウザ拡張機能、ベータ版)
脆弱性1 偽のクリックイベントによる無警告タスク実行(CVSS 9.6 Critical)
脆弱性1の悪用対象 Gmail閲覧、Googleドキュメント閲覧、カレンダー閲覧を含む9種類の固定タスク
脆弱性2 ?skipPermissions=trueによる無承認の特権モード移行(現時点では拡張機能のみ生成可能)
関連する先行事案 ClaudeBleed(LayerX発見、2026年4-5月)、ShadowPrompt(2026年3月)
対応状況 Anthropicは一部を「解決済み」と分類したが、コードは変更されていない

何が起きたか

Manifoldの報告によれば、Claude for Chromeには2つの脆弱性があり、他のブラウザ拡張機能がclaude.ai上でスクリプトを実行できる権限(一般的に付与される権限)を持ってさえいれば、ユーザーのGmail、直近のGoogleドキュメントとそのコメント、そしてカレンダーを狙ったタスクをClaude for Chromeに実行させることができるとされています。

1つ目の脆弱性は、拡張機能のコンテンツスクリプトに起因します。

このスクリプトはclaude.ai上で特定のオンボーディング用ボタン(#claude-onboarding-button)へのクリックを監視しており、そのボタンのdata-task-id属性を読み取って、あらかじめ許可された9種類のタスクIDのいずれかに該当する場合、拡張機能へサイドパネルを開かせるメッセージを送信します。

このタスクIDには、3種類のオンボーディング用練習プロンプト、DoorDash・Salesforce・Zillowを操作する3種類のタスク、そしてGmail・Googleドキュメント・カレンダーをそれぞれ読み取る3種類のタスク(usecase-gmail、usecase-gdocs、usecase-calendar)が含まれています。

問題は、このハンドラーがevent.isTrusted(実際のユーザーによるクリックか、スクリプトによって発生させられたクリックかを区別するブラウザのフラグ)を一切確認していない点です。

このため、claude.ai上でスクリプトを実行できる他の拡張機能であれば、わずか数行のJavaScriptで偽のクリックを発生させ、ユーザーの認識なしにこれら9種類のタスクのいずれかをClaudeに実行させることができます。

Claudeの既定設定である「操作前に確認する」モードでは、依然としてユーザーがクリックする必要のある承認ポップアップが表示されますが、「確認なしで実行する」という自動化モードが有効になっている場合は、一切のプロンプトなしに実行されてしまいます。この場合の深刻度はCVSS 9.6(Critical)と評価されています。

2つ目の脆弱性はより構造的なものです。

Claudeのサイドパネルは、URLに「?skipPermissions=true」というパラメータが含まれている場合、ユーザーによる操作を一切介さずに、無承認の特権モードへ移行してしまいます。

警告バナーは表示されるものの、それは特権モードがすでに有効になった後に表示されるため、防御策としてではなく単なる通知としてしか機能していません。

現時点では、このURLを生成できるのは拡張機能自身に限られているため直接の悪用は困難とされていますが、研究者は、新たなメッセージハンドラーの追加、XSSの脆弱性、あるいはこのURLを外部コードが生成できてしまう何らかの不具合が将来発生すれば、即座に無警告・フルアクセスの侵害につながりかねない「時限爆弾」だと警告しています。

ClaudeBleedからの経緯-繰り返される「暫定的な緩和策」

今回の2つの脆弱性は、当サイトで2026年5月に報じた「ClaudeBleed」と呼ばれる問題に関連しています。

ClaudeBleedはセキュリティ企業LayerXが発見したもので、Claude for Chromeの拡張機能がclaude.aiというオリジン(発信元)を信頼する一方、実際にコマンドを送信しているスクリプトそのものを検証していなかったという、信頼境界の欠如が根本原因でした。この問題により、特別な権限を一切持たない拡張機能であっても、Claudeに悪意ある指示を注入し、Googleドライブの「Top Secret」というファイル名の機密文書を外部と共有させたり、Gmailの受信箱を要約させたうえで証拠隠滅のため送信済みメールを削除させたりすることが実証されていました。

Anthropicは2026年5月6日、ClaudeBleedへの対応としてv1.0.70をリリースし、外部のWebページがClaudeへ任意のプロンプトを送り込める経路を制限し、9種類の固定タスクIDへ限定する修正を導入しました。しかしこれは、完全な修正が展開されるまでの初期的な緩和策と位置づけられていました。今回Manifoldが指摘しているのは、まさにこの「初期的な緩和策」自体に、前述の偽クリック問題という新たな抜け穴が存在していたという点です。

Manifoldは2026年5月21日、ClaudeBleedの公表からほどなくして、この2件の脆弱性をAnthropicへ報告しました。

Anthropicは翌日にはこれを確認したものの、偽クリックに関する報告については、根本的な信頼境界の問題がすでにClaudeBleedの報告の中で追跡されており「完全な修正が展開されるまで未解決の状態」だとして処理し、URLパラメータに関する報告については、このパラメータは拡張機能自身がユーザーからすでに無人実行の指示を受けたタスクのためにのみ設定するものだとして「参考情報」扱いとしました。

ところが、この修正を追跡していたはずの内部報告は、2026年6月9日より前の時点で「解決済み」のステータスに変更されていたことが判明しています。Manifoldが2026年7月7日リリースのv1.0.80を検証したところ、該当するコンテンツスクリプトのクリックハンドラーおよびサイドパネルの初期化処理は、最初に報告した際のv1.0.72からバイト単位で一切変更されていなかったとしています。本稿執筆時点で、Anthropicはこの指摘に対する公式な見解を公表していません。

情報システム部門への示唆

Claude for Chromeは現在もベータ版(リサーチプレビュー)として位置づけられており、有料のClaudeサブスクリプション利用者であれば誰でも利用可能な状態にあります。今回の一連の問題が示す教訓は、AIエージェントをブラウザに統合するという設計そのものが、従来のブラウザ拡張機能のセキュリティモデル(同一オリジンポリシーや権限による分離)とは異なる、新しい種類の攻撃対象領域を生み出しているという点です。AIエージェントは複数のWebサイトを横断して読み書き・操作を行うことこそが有用性の源泉である一方、そのエージェント自体が乗っ取られた場合の被害範囲も同様に大きくなります。

自組織でClaude for Chromeやその他のAIブラウザ拡張機能の利用を検討・許可している場合は、こうした拡張機能が既存のブラウザ拡張機能全体を実質的な信頼境界に含めてしまう可能性を踏まえ、業務用端末にインストールを許可する拡張機能を必要最小限に絞り込むこと、そして「確認なしで実行する」といった自動化モードの利用を、機密性の高い業務では避けることを検討してください。

あわせて、当サイトで以前紹介したGoogle GeminiやChatGPTにおける同種の間接プロンプトインジェクションの事例も踏まえると、AIエージェント機能を持つブラウザ拡張機能全般について、ベンダーが「解決済み」と分類した問題であっても、実際にコードが修正されたかどうかを独自に検証する姿勢が重要です。今回のケースのように、ステータス上は「解決済み」とされていても実際のコードには変更がないという事態は、脆弱性管理プロセスにおけるステータス表示と実態の乖離という、ベンダー・利用者双方にとっての教訓を含んでいます。

出典