Koi Securityの研究者Oren Yomtovは、AnthropicのClaude Google Chrome拡張機能に存在した脆弱性「ShadowPrompt」の詳細を2026年3月26日に公開しました。この脆弱性により、ユーザーがWebページを訪問するだけで、攻撃者がClaudeに対し任意のプロンプトを実行させることが可能でした。クリックも許可ダイアログも不要のゼロクリック攻撃です。Anthropicは2025年12月27日の報告を受けてChrome拡張機能v1.0.41で修正済みであり、XSSの原因となったサードパーティコンポーネントも2026年2月19日に修正されています。
ShadowPromptの仕組み
ShadowPromptは、2つの独立した脆弱性を連鎖させる攻撃です。
1つ目:オリジン許可リストの過剰な許可
Claude Chrome拡張機能は、*.claude.aiパターンに一致する任意のサブドメインからのメッセージを受け付け、プロンプトとしてClaudeに送信・実行する仕様になっていました。claude.ai本体だけでなく、任意のサブドメインが信頼された送信元として扱われていたことになります。
2つ目:Arkose Labs CAPTCHAコンポーネントのDOM XSS
a-cdn.claude[.]aiにホストされていたArkose Labs製のCAPTCHAコンポーネントに、DOM(Document Object Model)ベースのクロスサイトスクリプティング脆弱性が存在しました。このXSSにより、a-cdn.claude[.]aiのコンテキストで任意のJavaScriptを実行できる状態でした。
攻撃の流れ
攻撃者のWebページは、脆弱なArkose Labsコンポーネントを非表示のiframeに埋め込み、postMessage経由でXSSペイロードを送信します。注入されたスクリプトはa-cdn.claude[.]aiのコンテキストで実行されるため、許可リストのチェックを通過し、Claude拡張機能に任意のプロンプトを発行できます。Koi Securityの報告によれば「被害者には何も表示されない」状態で攻撃が完了します。
悪用された場合の影響
この脆弱性の悪用に成功した場合、攻撃者は以下の操作が可能でした。
アクセストークン等の機密データの窃取、AIエージェントとの会話履歴へのアクセス、そして被害者になりすましたメール送信や機密データの要求などの操作です。攻撃者はユーザーが書いたかのようにプロンプトを注入できるため、Claude拡張機能が持つすべての権限を悪用できる状態でした。
修正状況
Koi Securityは2025年12月27日に責任ある開示を実施しました。Anthropicはこの報告を受けてChrome拡張機能v1.0.41を公開し、オリジンチェックを厳格化してclaude[.]aiドメインとの完全一致を要求する仕様に変更しました。Arkose Labs側も2026年2月19日にXSS脆弱性を修正しています。Koi Securityが報告したShadowPrompt攻撃チェーンについては修正済みです。
Claude系拡張・コネクタで繰り返し露呈する「信頼境界」の問題
ShadowPromptは、Claude関連の拡張・コネクタに対する一連の脆弱性発見の最新事例です。Koi Securityは2025年7月にも、Claude Desktop Extensions(MCP拡張)向けのAnthropic公式Chrome・iMessage・Apple Notesコネクタにコマンドインジェクション脆弱性(CVSS 8.9)を発見しています(「PromptJacking」と呼ばれ、2025年8月にv0.1.9で修正済み)。また2026年2月にはLayerX Securityが、Claude Desktop Extensions(DXT)にゼロクリックRCE脆弱性(CVSS 10.0)を報告しましたが、Anthropicは「現在の脅威モデルの範囲外」として修正を見送っています。
これらの脆弱性に共通するのは、AIブラウザアシスタントの「信頼境界」の問題です。Koi SecurityはThe Hacker Newsに対し「AIブラウザアシスタントが高機能になるほど、攻撃対象としての価値も高まる。ブラウザを操作し、クレデンシャルを読み取り、代わりにメールを送信できる拡張機能は、自律的なエージェントである。そしてそのエージェントのセキュリティは、信頼境界の中で最も弱いオリジンと同じ強度しか持たない」とコメントしています。
注意すべきポイント
今回のShadowPrompt自体は既に修正済みですが、AIブラウザ拡張機能を業務で利用している環境では、以下の点を点検する価値があります。
Claude Chrome拡張機能がv1.0.41以降に更新されていることを確認してください。Chrome拡張機能は通常自動更新されますが、企業環境では更新ポリシーにより遅延する場合があります。
AIブラウザ拡張機能に付与されている権限を棚卸ししてください。ブラウザの操作、メール送信、ファイルアクセスなどの権限を持つ拡張機能は、プロンプトインジェクション攻撃の標的になった場合の影響範囲が広くなります。
AIエージェントが外部コンテンツ(Webページ、メール、カレンダーイベントなど)を処理する環境では、間接プロンプトインジェクションのリスクを考慮してください。信頼されていない外部データがAIの実行コンテキストに入り込む経路が、そのまま攻撃面になります。
一次ソース:
Koi Security「ShadowPrompt: How Any Website Could Have Hijacked Claude’s Chrome Extension」(2026年3月26日) ── koi.ai
参考情報:
The Hacker News「Claude Extension Flaw Enabled Zero-Click XSS Prompt Injection via Any Website」(2026年3月26日) ── thehackernews.com
Anthropic「Prompt Injection Defenses」(一般的なプロンプトインジェクション防御の研究記事) ── anthropic.com
Koi Security「PromptJacking: The Critical RCEs in Claude Desktop That Turn Questions Into Exploits」(2025年11月5日) ── koi.ai
コメント