Anthropic के Claude ब्राउज़र एक्सटेंशन में एक गंभीर खामी पाई गई है, जो दुर्भावनापूर्ण एक्सटेंशन के माध्यम से आपके महत्वपूर्ण डेटा जैसे Gmail, Google Calendar और Salesforce तक अनधिकृत पहुंच दिला सकती है।
मुख्य बिंदु (Key Takeaways)
- Claude Chrome एक्सटेंशन में एक सुरक्षा खामी मिली है जो 'सिंथेटिक क्लिक' का उपयोग कर सकती है।
- हैकर्स आपके Gmail, Google Docs और Salesforce जैसे जुड़े हुए खातों को नियंत्रित कर सकते हैं।
- खामी 'Event.isTrusted' प्रॉपर्टी की जांच न करने के कारण है, जिससे फर्जी क्लिक को असली समझा जाता है।
- शोधकर्ताओं के अनुसार, यह समस्या नवीनतम संस्करण 1.0.80 में भी मौजूद है।
एआई (AI) तकनीक के क्षेत्र में अग्रणी कंपनी Anthropic के लोकप्रिय 'Claude' ब्राउज़र एक्सटेंशन में एक गंभीर सुरक्षा भेद्यता (vulnerability) का खुलासा हुआ है। Manifold Security के शोधकर्ता Ax Sharma द्वारा खोजी गई यह खामी उपयोगकर्ताओं के लिए एक बड़ा खतरा बन सकती है, क्योंकि यह दुर्भावनापूर्ण एक्सटेंशन को Claude के माध्यम से आपके निजी डेटा और सेवाओं तक पहुंच प्रदान कर सकती है।
कैसे काम करता है यह हमला?
तकनीकी रूप से, यह समस्या तब उत्पन्न होती है जब Claude एक्सटेंशन यह पहचानने में विफल रहता है कि कोई 'क्लिक' एक वास्तविक उपयोगकर्ता द्वारा किया गया है या किसी स्क्रिप्ट द्वारा प्रोग्रामेटिक रूप से उत्पन्न किया गया है। ब्राउज़र में, जब कोई मनुष्य माउस से क्लिक करता है, तो उसे 'Event.isTrusted' प्रॉपर्टी के माध्यम से 'true' के रूप में चिह्नित किया जाता है। हालांकि, यदि कोई जावास्क्रिप्ट (JavaScript) कोड क्लिक का अनुकरण करता है, तो यह 'false' हो जाता है। शोधकर्ताओं ने पाया कि Claude एक्सटेंशन इस अंतर को नहीं पहचानता और फर्जी क्लिक को भी वास्तविक मानकर कार्य निष्पादित कर देता है।
प्रभावित होने वाली सेवाएं और जोखिम
यह खामी हमलावरों को Claude के साथ जुड़े हुए महत्वपूर्ण वर्कफ़्लो (workflows) का दुरुपयोग करने की अनुमति देती है। यदि कोई उपयोगकर्ता Claude के 'Act without asking' (बिना पूछे कार्य करें) फीचर का उपयोग कर रहा है, तो खतरा और भी बढ़ जाता है। प्रभावित होने वाली सेवाओं में शामिल हैं:
- Gmail: हाल के ईमेल पढ़ना और अनसब्सक्राइब करने जैसे कार्य करना।
- Google Docs: उपयोगकर्ता के नवीनतम दस्तावेज़ों को पढ़ना और टिप्पणियों का विश्लेषण करना।
- Google Calendar: मीटिंग शेड्यूल करना या कैलेंडर की जानकारी पढ़ना।
- Salesforce: लीड्स (Leads) को संशोधित करना या उन्हें अवसरों में बदलना।
सुरक्षा विशेषज्ञों की चेतावनी
यह ध्यान रखना महत्वपूर्ण है कि यह हमला सीधे किसी वेबसाइट से नहीं होता, बल्कि इसके लिए उपयोगकर्ता को पहले से ही किसी दुर्भावनापूर्ण एक्सटेंशन को इंस्टॉल करना होगा। एक बार जब हमलावर का एक्सटेंशन 'claude.ai' डोमेन पर कोड चलाने में सक्षम हो जाता है, तो वह Claude के कार्यों को ट्रिगर कर सकता है। चिंताजनक बात यह है कि Manifold Security के अनुसार, यह खामी Claude के नवीनतम संस्करण 1.0.80 में भी मौजूद है, जिसका अर्थ है कि पैच अभी तक पूरी तरह प्रभावी नहीं हुआ है।