Claude瀏覽器延伸套件存在零點擊漏洞ShadowPrompt，攻擊者可透過網站發動提示注入攻擊

資安公司Koi Security揭露新型攻擊手法ShadowPrompt，指出Claude的Chrome延伸套件存在重大安全漏洞，攻擊者僅需誘導使用者連至惡意網站，即可在無需任何互動的情況下，暗中操控AI助理行為。對此，Anthropic已於2025年底接獲通報後進行修補，新版套件強制要求來源必須完全符合claude.ai主網域，並封堵相關漏洞，降低被濫用的風險。

在ShadowPrompt的模式中，攻擊者可透過任意網站將惡意提示注入Claude，且系統會將其視為使用者自行輸入的指令，整個過程無需點擊或授權，屬於典型的零點擊（Zero-click）攻擊情境。

技術上，ShadowPrompt是由兩項弱點串聯而成。首先，該延伸套件的來源許可名單（Origin Allowlist）過於寬鬆，允許所有符合*.claude.ai的子網域傳送指令；其次，攻擊鏈結合第三方CAPTCHA元件裡的DOM型跨網站指令碼漏洞（DOM-based XSS），使攻擊者能在合法網域上下文中執行惡意JavaScript。

攻擊流程中，駭客可將含漏洞的CAPTCHA元件嵌入隱藏的iframe，透過發送訊息（postMessage）傳遞XSS酬載，之後注入程式碼，觸發Claude擴充功能執行惡意提示。由於請求來源符合允許清單，系統不會進一步驗證，導致惡意指令可直接進入AI助理介面。

一旦攻擊成功，駭客就能濫用AI助理的高權限能力，讀取使用者文件、存取雲端資料、匯出對話記錄，甚至代替使用者發送訊息等操作，等同取得瀏覽器層級的控制權。