ClaudeBleed, c’est le nom d’une faille de sécurité critique découverte dans l’extension “Claude in Chrome” d’Anthropic. Cette vulnérabilité permet à n’importe quelle extension, sans permissions spécifiques, d’exécuter des actions sensibles à votre insu. Quels sont les risques ? Comment se protéger ? Voici l’essentiel à savoir.
ClaudeBleed : une faille dans l’extension Claude pour Chrome
Lancée en avril dernier par Anthropic auprès des utilisateurs de Google Chrome, notamment pour offrir une assistance à la navigation et des fonctionnalités d’automatisation basées sur l’IA, l’extension “Claude in Chrome” compte déjà plusieurs millions de téléchargements (malgré qu’elle soit en bêta). Pas étonnant compte tenu de la popularité des outils publiés par Anthropic.
Néanmoins, cette extension contient plusieurs problèmes de sécurité mis en lumière par Aviad Gispan, chercheur chez LayerX. Une première vulnérabilité, surnommée ClaudeBleed, “découle d’une erreur dans la limite de confiance dans la façon dont l’extension gère la communication entre les scripts s’exécutant sur claude.ai et l’extension elle-même.”
En pratique, l’extension Claude fait aveuglément confiance à tout script exécuté associé à l’origine claude.ai (Same Origin). Ainsi, en oubliant de vérifier si ce script provient bel et bien d’Anthropic, cela ouvre la porte à une attaque : une autre extension présente sur la machine de la victime peut injecter du code et manipuler l’IA. Ce problème prend racine dans la fonctionnalité externally_connectable de Google Chrome, qui permet aux sites ou aux extensions de communiquer entre eux.
Le rapport publié par LayerX contient un schéma qui illustre parfaitement ce problème de sécurité, voyez par vous-même.
Ainsi, les chercheurs ont démontré qu’une extension malveillante, ne disposant d’aucune permission, pouvait injecter directement des commandes dans l’interface de messagerie interne de Claude. Par cet intermédiaire, l’attaquant peut forcer l’IA à interagir avec des outils comme Google Drive, GitHub ou d’autres sites, en exploitant les sessions de l’utilisateur (en fonction des services auxquels il est connecté).
Lors de leurs tests, les chercheurs de LayerX ont pu forcer l’assistant à exécuter les actions suivantes :
Partager des fichiers sensibles stockés sur Google Drive vers l’extérieur.
Envoyer des e-mails en utilisant le compte Gmail de la victime.
Extraire du code source depuis des dépôts GitHub privés.
Résumer les messages récents d’une boîte de réception, puis en supprimer les preuves par la suite.
Les chercheurs expliquent qu’il y a des mesures de protection dans l’extension Claude lorsque des actions sensibles sont exécutées. “Claude exige une confirmation de l’utilisateur pour les actions sensibles, telles que l’envoi d’e-mails ou l’accès à des services externes. Ces invites nécessitent l’accord explicite de l’utilisateur.”, peut-on lire.
Toutefois, la technique dite d’approval looping, qui consiste à soumettre de manière répétée des demandes d’approbation automatisées, a fonctionné également dans le cas présent.
Comment se protéger ?
La version de l’extension affectée par cette vulnérabilité est la 1.0.69, publiée le 22 avril 2026. Quant à la faille de sécurité, elle a été signalée à Anthropic par LayerX le 27 avril 2026, et un correctif a été publié le 6 mai 2026 à l’occasion de la sortie de la version 1.0.70 de l’extension.
Néanmoins, cette nouvelle version publiée par Anthropic ne corrigerait pas totalement la vulnérabilité. Désormais, les actions nécessitant des privilèges d’interaction avec le navigateur (navigation, interaction avec les pages, etc.) déclenchent un processus d’autorisation explicite dans le panneau latéral de Claude. Mais, ce nouveau mécanisme est contournable.
“Lorsque l’extension fonctionne en mode « Agir sans demander », la nouvelle couche de validation mise en place devient inefficace. Nous avons pu déterminer de manière fiable quand Claude était actif et détecter si le mode d’exécution autonome était activé. Une fois ce mode activé, la voie d’attaque initiale restait pleinement exploitable via le canal de communication externe existant.”, précise le rapport.
LayerX a d’ailleurs publié une vidéo pour montrer l’exploitation de la vulnérabilité y compris avec la version 1.0.70 de l’extension.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.