Lỗ hổng CVE trong tiện ích mở rộng “Claude in Chrome” cho thấy một rủi ro bảo mật nghiêm trọng khi cơ chế tin cậy của trình duyệt và trợ lý AI bị khai thác sai cách. Vấn đề nằm ở việc tiện ích có thể bị lợi dụng để chiếm quyền điều khiển các hành động đã được ủy quyền, từ đó dẫn đến remote code execution ở cấp hành vi ứng dụng, dù không có mã khai thác truyền thống.
Lỗ hổng CVE Trong Cơ Chế Trust Boundary
Nguyên nhân gốc được xác định là vi phạm ranh giới tin cậy trong tệp manifest của extension. Tiện ích dùng thuộc tính externally_connectable để giao tiếp với trang claude.ai, nhưng chỉ kiểm tra nguồn gốc của yêu cầu thay vì kiểm tra ngữ cảnh thực thi thực tế.
Điều này tạo ra một lỗ hổng CVE ở lớp kiến trúc: JavaScript chạy trên trang claude.ai, bao gồm cả script được chèn bởi extension độc hại không khai báo quyền, vẫn có thể thực thi các lệnh đặc quyền trong Claude. Khi đó, mô hình an ninh của Chrome bị bỏ qua vì tiến trình đang chạy trong origin đáng tin cậy.
Cơ Chế Khai Thác Lỗ Hổng CVE
Nghiên cứu đã xây dựng một extension proof-of-concept tối giản để chứng minh khả năng vượt qua các cơ chế bảo vệ tích hợp. Kỹ thuật khai thác không cần chuỗi exploit phức tạp và cũng không cần tương tác từ người dùng.
Hai kỹ thuật chính được ghi nhận trong khai thác zero-day này là thao túng ngữ nghĩa giao diện và lợi dụng hành vi tự động của AI:
- Đổi tên các nút giao diện, ví dụ từ “Share” thành “Request feedback”, để đánh lừa khả năng nhận diện hình ảnh của AI.
- Buộc AI thực hiện các hành động bị giới hạn nhưng được mô hình đánh giá là vô hại.
Đây là dạng confused deputy, trong đó AI hành động thay mặt người dùng nhưng bị điều hướng bởi bối cảnh giả mạo. Khi đã bị chiếm quyền, AI có thể bị lạm dụng để đọc, tóm tắt, chuyển tiếp hoặc xóa thư mới trong Gmail, chia sẻ tài liệu Google Drive bị giới hạn với người ngoài, và trích xuất mã nguồn riêng tư từ GitHub.
Ảnh Hưởng Hệ Thống Và Dữ Liệu
Hậu quả của lỗ hổng CVE này không nằm ở việc ghi đè bộ nhớ hay thực thi shell trực tiếp, mà ở việc chiếm quyền điều khiển chuỗi hành động của trợ lý AI. Tác động gồm:
- Rò rỉ dữ liệu từ Gmail.
- Dữ liệu bị lộ từ Google Drive có kiểm soát chia sẻ.
- Truy cập và sao chép mã nguồn từ kho GitHub riêng tư.
- Thực thi thao tác xóa hoặc chuyển tiếp nội dung email gần đây.
Vì không cần người dùng xác nhận và không phụ thuộc vào chuỗi khai thác dài, đây là một cảnh báo CVE đáng chú ý đối với các extension AI có quyền truy cập vào nội dung trình duyệt.
Chi Tiết Mô Hình Trust Và Bản Vá
Nhóm nghiên cứu đã báo cáo vấn đề cho Anthropic vào ngày 27/04/2026. Đến ngày 06/05/2026, phiên bản 1.0.70 được phát hành với cơ chế phê duyệt rõ ràng hơn cho các hành động trình duyệt tiêu chuẩn.
Tuy nhiên, bản vá được đánh giá là chưa triệt để vì nó tập trung vào lớp cấp phép dựa trên giao diện, thay vì sửa trực tiếp handler của externally_connectable. Nếu extension chạy ở chế độ “Act without asking”, lỗ hổng CVE vẫn có thể bị khai thác đầy đủ.
Đặc biệt, luồng khởi tạo side-panel có thể bị lạm dụng để ép tạo một phiên đặc quyền riêng, qua đó bỏ qua các kiểm tra an toàn mới. Điều này cho thấy rủi ro bảo mật vẫn tồn tại ở tầng kiến trúc, không chỉ ở tầng xác nhận thao tác.
Khuyến Nghị Khắc Phục
Biện pháp khắc phục được đề xuất là xác thực nghiêm ngặt người gửi thông điệp bên ngoài, thay vì suy luận độ tin cậy từ trạng thái UI. Cách tiếp cận này phù hợp hơn với mô hình an toàn thông tin cho extension có tích hợp LLM.
Hướng thay đổi kiến trúc cần ưu tiên:
- Xác thực sender của message theo ngữ cảnh thực thi.
- Không dựa vào nhãn nút hoặc dấu hiệu hiển thị để cấp quyền.
- Tách biệt rõ luồng đặc quyền và luồng không đặc quyền.
- Loại bỏ khả năng tự động chuyển sang chế độ đặc quyền từ side-panel.
Thông tin tham chiếu kỹ thuật có thể đối chiếu thêm tại NVD và báo cáo gốc từ LayerX Security.
Điểm Kỹ Thuật Cần Lưu Ý
Lỗ hổng CVE này không phải lỗi logic đơn lẻ mà là thất bại của mô hình tin cậy giữa extension, trình duyệt và LLM. Khi origin được xem là đủ để xác thực, bất kỳ JavaScript nào chạy trong ngữ cảnh đó đều có thể trở thành nguồn phát lệnh đặc quyền.
Trong bối cảnh các trợ lý AI tích hợp sâu vào trình duyệt, cảnh báo CVE này cho thấy việc chỉ kiểm tra bề mặt giao diện là không đủ. Cơ chế bảo vệ phải dựa trên xác thực sender, kiểm soát trạng thái phiên và giới hạn rõ ràng các thao tác có thể bị tự động hóa.
