当前位置：首页 > news >正文

Claude浏览器：注入漏洞技术分析与XSS底层机制复现

news 2026/4/24 7:09:26

Claude浏览器：注入漏洞技术分析与XSS底层机制复现

点击关注获取更多实时安全资讯

**⚠️Koi Security研究员Oren Yomtov披露Anthropic Claude谷歌浏览器扩展存在高危漏洞，攻击者可通过诱导访问特定页面实现静默提示注入。该漏洞由源： * 白名单绕过

DOM型XSS 两个缺陷串联构成。本文从漏洞利用链路出发，结合浏览器解析机制解析XSS产生根源，面向工程师群体聚焦技术细节。**

**一、**漏洞成因与攻击链

Koi Security研究员Oren Yomtov指出：“该漏洞允许任何网站静默地向该AI助手注入提示，就像用户自己输入的一样。无需点击，无需权限提示。只需访问页面，攻击者就能完全控制你的浏览器。”

漏洞由两个底层缺陷串联形成：

扩展程序中存在过于宽松的源白名单机制，允许任何匹配模式(*.claude.ai)的子域向Claude发送执行提示。
托管在a-cdn.claude[.]ai上的Arkose Labs验证码组件存在基于DOM的跨站脚本（XSS）漏洞。

攻击者可达成以下目的：

窃取敏感数据，包括会话访问令牌。
获取AI Agent对话历史记录。
以受害者身份执行操作，如冒充发送邮件、向AI索取机密数据。

二、攻击实现技术链路

攻击者页面构造

攻击者控制恶意网站，在页面中嵌入一个隐藏的<iframe>，其src指向存在漏洞的Arkose组件：
https://a-cdn.claude[.]ai/arkose.html（或具体验证码端点）。该iframe尺寸设为0×0或visibility:hidden，用户不可见。

跨域消息投毒

攻击者页面通过postMessage向iframe的contentWindow发送一个特制的XSS有效载荷。消息格式示例（基于Arkose组件实际监听的事件）：

`javascript

iframe.contentWindow.

postMessage({type:“EXECUTE”,code:“alert(‘XSS’)”

// 实际载荷为向Claude扩展发送提示的脚本},

“https://a-cdn.claude.ai”);`

DOM XSS触发

Arkose组件内部未对postMessage的来源及内容做严格校验，直接将消息中的字符串拼接到DOM中（如通过innerHTML、eval或document.write）。例如漏洞代码：

`javascript

window.addEventListener(“message”,function(e)

document.write(e.data.code);

}

);`

导致恶意代码在当前a-cdn.claude[.]ai上下文中执行。

注入脚本与扩展通信

在a-cdn.claude[.]ai上下文中执行的JavaScript具备以下能力：

访问该域下的所有资源，但更重要的是：该域属于白名单模式***.claude.ai**。

Claude扩展通常会监听来自白名单域的特定事件或消息（如通过window.postMessage与扩展的content script通信，或直接调用扩展注入的DOM API）。

攻击者注入的脚本构造一个符合扩展期望的消息对象（例如模拟用户点击侧边栏提交框），并通过postMessage或自定义事件发送给扩展程序。

扩展无条件信任

扩展程序的事件监听器检测到消息来源的origin为https://a-cdn.claude.ai（匹配*.claude.ai），直接将其视为合法用户输入，不再进行二次验证。于是该提示被添加到Claude侧边栏中，并交由AI模型处理。

完全静默

由于整个过程没有权限弹窗、没有页面跳转、没有用户交互，受害者完全察觉不到攻击行为。攻击者可以连续注入多条提示，实现窃取数据、冒充操作等后续攻击。

技术要点总结

攻击链依赖：恶意页面 → 隐藏iframe → postMessage → DOM XSS → 脚本注入 → 扩展白名单信任 → 提示执行。

关键绕过：白名单域*.claude.ai包含了存在XSS的CDN子域，导致信任传递被滥用。

无交互成因：扩展未要求用户确认来自白名单域的提示，且XSS执行无需点击。

**三、**浏览器解析机制

XSS漏洞根因在于浏览器对服务器返回内容的无条件信任与主动解析执行。

解析流程如下：

输入URL后经历DNS解析、TCP/TLS连接建立、HTTP请求发送。
服务器端若未对用户输入（如$_GET['id']）进行过滤，直接拼接返回HTML字符串。
浏览器接收响应后构建DOM树。解析过程中：

遇<script>标签立即下载执行其中JavaScript。
遇事件属性（如onerror）在事件触发时执行关联代码。
JavaScript引擎（V8）执行代码可操作DOM、发起请求、读取Cookie。

示例代码

`text

ET /index.php?id= HTTP/1.1Host: baidu.com`

服务器直接返回：

`text

浏览器解析到<script>即执行alert(1)。

四**、**DOM型XSS与扩展漏洞关联

DOM型XSS不依赖服务器响应内容，由前端JavaScript处理不当引发。典型示例：

`text

用户访问http://baidu.com/#<img src=x onerror=alert(1)>时：

#后内容不发送至服务器。
location.hash获取<img src=x onerror=alert(1)>。
document.write()写入页面后浏览器解析并触发onerror执行代码。

Claude扩展漏洞中的Arkose组件XSS即属此类。攻击者通过postMessage向iframe注入的脚本在a-cdn.claude.ai域内触发DOM型XSS，随后以合法域身份向扩展发送提示，绕过了同源策略限制。

总结

Claude扩展漏洞本质是源白名单信任范围过大与第三方组件DOM XSS的串联，攻击者通过postMessage跨域注入，实现无交互提示注入。
XSS的根本成因：浏览器无条件信任服务器返回的内容，将用户可控数据当作代码执行。

防御核心

输入过滤 + 输出编码（如HTML实体转义）。

使用textContent替代innerHTML。

启用CSP（内容安全策略）限制脚本来源。

避免使用document.write、eval等危险API。

点击内容

代码审计

代码审计-PHP 篇（一）之从原理到实战的全景指南
代码审计-PHP 篇（二）之前台代码审计实战指南
代码审计-PHP 篇（三）之深度审计 SQL 注入漏洞
代码审计-PHP 篇（四）之文件操作类漏洞：深度剖析文件操作场景潜在风险
代码审计-PHP篇（五）：洞悉风险，固守防线 – 文件读取漏洞深度解析与防护
代码审计-PHP篇（六）之文件删除漏洞：从任意删除到系统瘫痪的致命威胁

代码审计（实战篇）

『PHP代码审计』· 实战篇-熊海CMS代码审计（一）
『PHP代码审计』· 实战篇-熊海CMS代码审计（二）
『PHP代码审计』· 实战篇-熊海CMS代码审计（三）
『PHP代码审计』· 实战篇-BlueCMS代码审计
『PHP代码审计』· 实战篇-DeDeCMS代码审计
『PHP代码审计』· 实战篇-XdCMS代码审计

靶场搭建

铸器为刃——靶场搭建系列篇（一）
铸器为刃——靶场搭建系列篇（二）
铸器为刃——靶场搭建系列篇（三）
铸器为刃——靶场搭建系列篇（四）
铸器为刃——靶场搭建系列篇（五）
铸器为刃——靶场搭建系列篇（六）

环境搭建

工欲善其事必先利其器—环境搭建系列之基础工具篇一
工欲善其事必先利其器—『环境搭建系列之基础工具篇二
工欲善其事必先利其器—环境搭建系列之基础工具篇三
工欲善其事必先利其器—环境搭建系列之基础工具篇四
工欲善其事必先利其器——环境搭建系列之基础工具篇（五)
工欲善其事必先利其器——环境搭建系列之基础工具篇（六)

学习资源

如果你也是零基础想转行网络安全，却苦于没系统学习路径、不懂核心攻防技能？光靠盲目摸索不仅浪费时间，还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造！

01内容涵盖

这份资料专门为零基础转行设计，19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进，攻防结合的讲解方式让新手轻松上手，真实实战案例 + 落地脚本直接对标企业岗位需求，帮你快速搭建转行核心技能体系！

这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】

**读者福利 |***CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 *（安全链接，放心点击）

02 知识库价值

深度：本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。
广度：面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。
实战性：知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。