ブラウザセキュリティ企業LayerXは、Anthropicが提供するChrome拡張機能「Claude in Chrome」(ベータ版・バージョン1.0.69)に重大な信頼境界の欠陥を発見したとして、「ClaudeBleed」と名付けたレポートを公開しました。この脆弱性により、特別な権限を持たない他のChrome拡張機能でも、Claudeに悪意ある指示を注入してAIエージェントを完全に乗っ取ることが可能です。
LayerXの研究者によるデモでは、攻撃者が制御する拡張機能がClaudeを操って、ユーザーの最新5件のメールを外部に送信しその後削除・Googleドライブファイルの外部転送・プライベートGitHubリポジトリからのソースコード窃取などを実行できることが実証されています。
Anthropicは2026年5月6日に修正版(v1.0.70)をリリースしましたが、研究者はリリースから約3時間で修正を迂回する方法を発見しており、根本的な問題は残っているとしています。
この記事のサマリー
- 発見者:LayerX(ブラウザセキュリティ専門企業)、脆弱性名「ClaudeBleed」
- 影響を受けるバージョン:「Claude in Chrome」ベータ版 v1.0.69(2026年4月22日リリース)
- 根本原因:拡張機能の
externally_connectableメッセージハンドラが、リクエスト送信元を検証せずにClaudeのLLMと通信することを許可する信頼境界(Trust Boundary)の欠如 - 攻撃に必要な条件:特別な権限ゼロの拡張機能で悪用可能
- 実証された攻撃内容:メール自動転送・Googleドライブ外部流出・GitHubソースコード窃取・エージェント的アクションの不正実行
- 修正状況:2026年5月6日にv1.0.70リリース。ただし追加の承認フローのみで根本的な信頼境界の問題は残存。研究者はリリース後3時間以内に迂回に成功
目次
なぜ「権限なし」の拡張機能が乗っ取れるのか
問題の核心:externally_connectableの無制限通信
「Claude in Chrome」拡張機能のコードには、ブラウザ上で動作するあらゆるスクリプトがClaudeのLLMと通信することを許可する命令が含まれていました。
本来、拡張機能間の通信は送信元の検証(どの拡張機能・どのオリジンからのリクエストかの確認)が不可欠ですが、この実装では誰がリクエストを発行したのかを適切に検証していませんでした。
LayerXはこれを「信頼境界の欠陥」と表現しており、攻撃者の拡張機能はClaudeの拡張機能と同一ブラウザ上で動作するだけで、正規のユーザーに成りすましてClaudeへの指示注入が可能になります。
攻撃のステップ
攻撃者が悪意あるChrome拡張機能を公開(または既存の正当な拡張機能に注入)します。被害者がその拡張機能をインストールしたブラウザで「Claude in Chrome」を起動している場合、悪意ある拡張機能はClaudeのLLMに直接プロンプトを注入できます。Claudeはそのプロンプトを正規ユーザーからの指示として処理し、ブラウザ操作・ファイルアクセス・メール送信等の特権的なアクションを実行します。
LayerXが実証した攻撃の実例
メール外部転送と証拠隠滅として、悪意あるプロンプトにより「ユーザーの最新5件のメールを要約して外部のメールアドレスに送信し、その後送信済みメールを削除する」という一連のアクションをClaudeに自動実行させることに成功しました。
Googleドライブのファイル外部流出として、ユーザーがClaudeを通じてGoogleドライブにアクセスする権限を持っている場合、攻撃者が指定したファイルを外部に転送させることができました。
GitHubプライベートリポジトリからのソースコード窃取として、開発者のGitHub認証情報にアクセス可能な環境では、プライベートリポジトリのソースコードを抽出・外部送信させることも実証されています。
修正版v1.0.70も3時間で突破
Anthropicは2026年5月6日、修正版v1.0.70をリリースしました。しかし対応内容はexternally_connectableメッセージハンドラの削除ではなく、「特権アクション」に対する追加の承認フロー(ユーザーへの確認ダイアログ表示)の導入にとどまりました。
LayerXは追加調査の結果、「privileged(特権)」モードへの切り替えを行うことで、ユーザーへの通知や同意を経ずにこれらのセキュリティチェックを迂回し、従前と同様にプロンプトを注入できることを確認しました。この迂回は修正版リリースから約3時間以内に発見されており、根本的な信頼境界の問題は残存しているとされています。
修正版では特権的なブラウザ操作(ページ間の遷移・コンテンツ要約・ページ操作等)について、Claudeのサイドパネルに明示的な承認フローが実装されたことは確認されています。
AIエージェントの「信頼境界」という新たな攻撃面
今回の事案は、AIエージェントが実際のブラウザ操作やファイル操作を行える時代における新しい攻撃面を浮き彫りにしています。
従来のブラウザ拡張機能の脆弱性は主に「認証情報の窃取」「セッションのハイジャック」等に限定されていましたが、AIエージェントはユーザーの代わりにメール送信・ファイル操作・コード実行などの複合的な「行動」を実行する権限を持ちます。このAIエージェントの「信頼境界」が不適切に実装されている場合、攻撃者は単一の拡張機能を足がかりに、AIエージェントが持つ全ての権限を間接的に掌握できます。
情シス・セキュリティ担当者へのポイント
「Claude in Chrome」ベータ版を使用している環境では、以下を確認してください。まず拡張機能のバージョン確認として、現在インストールされているClaude in Chromeのバージョンが最新版(v1.0.70以降)であることを確認してください。ただし、根本的な問題は残存しているという点に注意が必要です。
次に、インストール済み拡張機能の審査として、同一ブラウザにインストールされている他の拡張機能を審査し、不審な・不明な拡張機能を削除することで攻撃面を低減できます。
また企業環境でのポリシー設定として、企業のブラウザ管理ポリシーでインストール可能な拡張機能を許可リストで管理している場合、AIエージェント拡張機能が持つ権限の範囲について追加のリスク評価を実施することが推奨されます。
参考情報
- ClaudeBleed: A Flaw In Claude’s Browser Extension Allows Any Extension to Hijack It(LayerX Security、2026年5月5日)
- Flaw in Claude’s Chrome extension allowed ‘any’ other plugin to hijack victims’ AI(CyberScoop)
- Researcher hacks Claude Code Chrome fix in 3 hours(CyberNews)
- Vulnerability in Claude Extension for Chrome Exposes AI Agent to Takeover(SecurityWeek、2026年5月8日)
- 【関連記事】Google Gemini CLIにCVSS 10.0の最高深刻度脆弱性——GitHubのIssue投稿だけでCI/CDがRCEに
- 【関連記事】2025〜2026年 サイバー攻撃・情報漏洩の最新事例まとめ
関連記事
Chromeの拡張機能 82件がユーザーから収集した個人情報を販売-650万人超が影響
バイブコーディング ツールのLovable AIで情報漏洩の恐れ
Microsoft Entra「Agent ID Administrator」ロール 範囲逸脱でテナント全体の乗っ取りが可能-AIエージェント管理ロールがService Principal奪取の踏み台に
Microsoft Defender のゼロデイ 脆弱性 3件がサイバー攻撃に悪用-BlueHammer・RedSun・UnDefend(CVE-2026-33825)
「危険すぎて一般公開できない」Claude Mythos、日本の国家サイバーセキュリティ会議で明言
不正アクセスとは-定義・件数・手口・目的・防止策を専門家が解説【2026年最新】
Bitwarden CLIの公式npmがマルウェア化-開発者の認証情報を標的にするサイバー攻撃【2026年4月】
サイバー攻撃とは? 種類・目的・企業への影響と対策を2026年最新データで解説
イスラエルはなぜレバノンに「緩衝地帯」を設けるのか-ヒズボラ排除の戦略的合理性と国際的摩擦の全構造【2026年最新】
