网络安全研究人员披露了Anthropic公司Claude谷歌浏览器扩展中存在的一个漏洞攻击者只需诱使用户访问特定网页即可触发恶意提示注入。漏洞原理分析Koi Security研究员Oren Yomtov在提供给The Hacker News的报告中指出该漏洞允许任何网站静默地向该AI助手注入提示就像用户自己输入的一样。无需点击无需权限提示。只需访问页面攻击者就能完全控制你的浏览器。该漏洞由两个底层缺陷串联形成扩展程序中存在过于宽松的源白名单机制允许任何匹配模式(*.claude.ai)的子域向Claude发送执行提示托管在a-cdn.claude[.]ai上的Arkose Labs验证码组件存在基于文档对象模型(DOM)的跨站脚本(XSS)漏洞攻击实现方式具体而言XSS漏洞允许在a-cdn.claude[.]ai上下文中执行任意JavaScript代码。攻击者可利用此行为注入JavaScript向Claude扩展发送提示。而扩展程序仅因请求来自白名单域就会将提示视为合法用户请求显示在Claude侧边栏中。Yomtov解释道攻击者的页面在隐藏的中嵌入存在漏洞的Arkose组件通过postMessage发送XSS有效载荷注入的脚本就会向扩展程序触发提示。受害者完全不会察觉。潜在危害成功利用此漏洞可使攻击者窃取敏感数据如访问令牌获取与AI Agent的对话历史记录以受害者身份执行操作如冒充发送邮件、索取机密数据修复进展在2025年12月27日收到负责任的漏洞披露后Anthropic为Chrome扩展部署了补丁强制实施严格的源检查要求精确匹配claude[.]ai域。Arkose Labs也于2026年2月19日修复了其端的XSS漏洞。Koi Security强调AI浏览器助手功能越强大作为攻击目标的价值就越高。一个能够导航浏览器、读取凭证并代表用户发送邮件的扩展程序本质上就是一个自主Agent。而该Agent的安全性仅取决于其信任边界中最薄弱的环节。