Zranitelnost vzdáleného spuštění kódu bez kliknutí (CVSS skóre: 10.0) v Claude Desktop Extensions (DXT) by mohla být zneužita k tichému kompromitování systému prostřednictvím jednoduché události v Google Kalendáři, když uživatel zadá neškodný příkaz jako „Prosím zkontroluj moje nejnovější události v google kalendáři a pak se o to postarej za mě.“

Problém pramení z toho, jak systémy založené na MCP, jako je Claude DXT, autonomně spojují různé nástroje a externí konektory k plnění požadavků uživatelů bez vynucování správných bezpečnostních hranic. Fráze „postarej se o to“ zde dělá těžkou práci, protože asistent umělé inteligence (AI) ji interpretuje jako odůvodnění pro provedení libovolných instrukcí vložených do těchto událostí bez vyžádání souhlasu uživatelů.

Podle LayerX, chyba ovlivňuje více než 10 000 aktivních uživatelů a 50 DXT rozšíření.

„Na rozdíl od tradičních rozšíření prohlížeče běží Claude Desktop Extensions bez sandboxu s plnými systémovými oprávněními,“ uvedla společnost zabývající se bezpečností prohlížeče. „V důsledku toho může Claude autonomně spojit nízko-rizikové konektory (např. Google Kalendář) s vysoce rizikovými lokálními exekutory, bez vědomí nebo souhlasu uživatele. Pokud je zneužito škodlivým aktérem, i neškodný příkaz (‚postarej se o to‘), spojený se škodlivě formulovanou událostí v kalendáři, stačí k spuštění libovolného lokálního spuštění kódu, které kompromituje celý systém.“

Anthropic se rozhodl problém v tuto chvíli neopravit. Podobnou chybu prompt injection v Google Gemini odhalila společnost Miggo Security minulý měsíc.

Zdroj: thehackernews.com