ShadowPrompt – N’importe quel site pouvait abuser votre extension Claude
Une faille découverte dans l’extension Chrome de Claude permettait à n’importe quel site web d’injecter silencieusement des prompts dans votre assistant IA. Pas besoin de cliquer, pas besoin de permission… non, fallait juste visiter une page web et c’était réglé. Le chercheur Oren Yomtov de
Koi Security
à l’origine de cette découverte, a baptisé ça “ShadowPrompt” et vous allez voir, c’est dingue.
En fait, cette attaque enchaînait deux failles. La première, c’est que l’extension acceptait les messages de n’importe quel sous-domaine en *.claude.ai, car Anthropic avait mis en place un allowlist trop permissif. Sauf qu’Arkose Labs, le fournisseur de CAPTCHA, hébergeait un composant sur a-cdn.claude.ai et malheureusement, ce composant contenait une jolie faille XSS bien classique. Celui-ci acceptait les postMessage sans vérifier l’origine, et le texte reçu était ainsi injectable via un
dangerouslySetInnerHTML
. Donc y’a bien ZERO validation côté client. Ouééééé !
Un attaquant n’avait qu’à embarquer ce composant CAPTCHA vulnérable dans une iframe cachée sur son site, envoyer un payload via postMessage, et hop, le script injecté pouvait balancer un prompt directement à l’extension. Elle le recevait depuis un domaine *.claude.ai, donc elle l’acceptait les yeux fermés et l’affichait alors dans la sidebar comme une requête légitime de l’utilisateur. La victime ne voyait strictement rien.
Et les dégâts potentiels ne sont clairement pas anecdotiques ! Avec cette technique, un attaquant pouvait voler vos tokens d’accès Gmail, exfiltrer des documents Google Drive, lire tout l’historique de vos conversations avec Claude, et même envoyer des mails en votre nom. Perso, ça fait beaucoup pour un simple onglet ouvert dans Chrome, quoi.
Le chercheur a trouvé le vecteur en bruteforçant les anciennes versions du composant Arkose Labs, en remontant depuis la version 1.26.0 jusqu’à trouver une mouture encore vulnérable. Simple, basique comme dirait Orel 🙂
Si vous suivez les failles des assistants IA, c’est pas la première fois qu’on voit ce genre de scénario.
Claude Cowork s’était déjà fait épingler
pour de l’exfiltration de fichiers via des documents piégés, et
le navigateur Perplexity Comet
avait le même problème avec des invitations de calendrier. Le problème de fond, c’est que ces extensions veulent tout faire à votre place, mais elles ne sont pas forcément capables de distinguer une requête légitime d’une attaque.
Par contre, attention, le fix ne protège que les utilisateurs qui ont mis à jour l’extension, donc n’oubliez pas de vérifier votre version. Koi Security a signalé la faille à Anthropic le 26 décembre 2025 (joyeux Noël !) et ces derniers ont confirmé le lendemain et déployé le correctif le 15 janvier, dans la version 1.0.41 de l’extension Chrome.
Maintenant au lieu d’accepter *.claude.ai, l’extension exige maintenant une correspondance exacte avec
https://claude.ai
. Arkose Labs a de son côté aussi corrigé la faille XSS en février, en renvoyant un 403 sur l’URL vulnérable. À vrai dire, la réactivité d’Anthropic a été plutôt correcte sur ce coup.
Bref, allez vérifier que vous êtes au moins en v1.0.41 (chrome://extensions pour checker). Et n’oubliez pas, plus une extension IA a de pouvoirs, plus elle est intéressante à hacker…
Leave a Comment