A extensão oficial do Claude para o Google Chrome tinha uma falha que transformava navegação comum em risco de segurança. Na verdade, bastava visitar uma página para que um atacante assumisse o controle do assistente de IA da vítima, injetando comandos como se fossem dela.A vulnerabilidade em cadeia, batizada de ShadowPrompt, foi corrigida na versão 1.0.41 da extensão após divulgação responsável feita em dezembro de 2025.Antrhopic corrigiu falha na extensãoA Anthropic recebeu o relatório de divulgação responsável entre os dias 26 e 27 de dezembro de 2025 e publicou uma correção na versão 1.0.41 da extensão.Infográfico mostra toda a cadeia de ataque do ShadowPrompt. Imagem: SocRadar.O componente externo envolvido na cadeia, um CAPTCHA da Arkose Labs hospedado em subdomínio da Anthropic, também foi corrigido em 19 de fevereiro de 2026.Como a cadeia de ataque funcionavaO ShadowPrompt combinava dois problemas distintos para criar um vetor de ataque sem interação do usuário, o que os pesquisadores chamam de zero-click.O primeiro era uma vulnerabilidade de DOM-based XSS no componente de CAPTCHA da Arkose Labs, hospedado em a-cdn.claude.ai. O segundo era um problema de validação de origem na própria extensão do Chrome.A extensão do Claude para Chrome confiava em qualquer subdomínio de *.claude.ai — brecha suficiente para que um script malicioso fosse tratado como comando legítimo do usuário.Ela aceitava mensagens de qualquer subdomínio correspondente ao padrão *.claude.ai, sem verificação mais restrita.Para executar o ataque, um agente malicioso precisava apenas publicar uma página que carregasse o CAPTCHA vulnerável em um iframe oculto. Via postMessage, o atacante disparava o XSS nesse contexto, executando JavaScript sob a origem a-cdn.claude.ai.Como essa origem se enquadrava no padrão confiável da extensão, o script conseguia enviar um prompt fabricado que o Claude recebia e processava como se tivesse sido digitado pelo próprio usuário.Bastava visitar uma página: a cadeia ShadowPrompt não exigia nenhuma interação da vítima para injetar prompts na extensão do Claude instalada no Chrome.O que um atacante podia fazer após a injeçãoCom a capacidade de injetar prompts arbitrários na extensão autenticada da vítima, os impactos documentados incluem acesso ao histórico de conversas do Claude. Também incluía caminhos para comprometimento de tokens de sessão e execução de ações em nome do usuário. O exemplo citado na pesquisa foi o envio de e-mails se passando pela vítima.O ponto central não é apenas a injeção de prompt em si. É o fato de que extensões de IA no navegador operam com acesso a sessões autenticadas e histórico de interações.Quando um atacante consegue fornecer entradas que a extensão trata como intenção do usuário, uma visita a uma página se transforma em comprometimento de fluxos de trabalho e dados sensíveis.A falha combinava DOM-based XSS em componente da Arkose Labs com validação de origem permissiva na extensão; a Anthropic publicou a correção na versão 1.0.41.Quem estava em riscoQualquer usuário com a extensão do Claude instalada no Chrome e ativa durante a navegação estava potencialmente exposto enquanto a falha permanecia sem correção.Ambientes corporativos com acesso a sistemas críticos, como suporte, finanças, administração de identidade, representavam risco amplificado. Isso porque o assistente teria acesso a contextos privilegiados.Não há confirmação pública de exploração ativa ou atribuição a atores de ameaça específicos. A ausência de exploração confirmada, porém, não equivale à ausência de risco.A cadeia usava técnicas bem conhecidas, e a divulgação pública pode aumentar o interesse de atacantes.Extensões de IA no navegador operam com acesso a sessões autenticadas — o que amplia o impacto quando uma injeção de prompt é bem-sucedida.As correções da AnthropicDois componentes receberam patches:A Arkose Labs corrigiu a vulnerabilidade de XSS no CAPTCHA em 19 de fevereiro de 2026.A Anthropic publicou a versão 1.0.41 da extensão para Chrome, substituindo a validação por padrão de subdomínio (*.claude.ai) por correspondência exata com claude.ai.A Anthropic corrigiu a vulnerabilidade na versão 1.0.41 da extensão do Claude para Chrome após divulgação responsável feita em dezembro de 2025.Mesmo com o XSS corrigido no componente externo, a atualização da extensão permanece prioritária. Cadeias de ataque como essa precisam de apenas um elo fraco remanescente para funcionar, e restringir o perímetro de confiança da extensão reduz a exposição a vulnerabilidades similares de origem em subdomínios.O que fazer para se protegerPara usuários individuais, a ação imediata é verificar se a extensão do Claude está na versão 1.0.41 ou superior e atualizar caso necessário.Para equipes de segurança, o caso reforça a necessidade de tratar extensões de browser com capacidades de IA como ativos de alto risco. Isso inclui manter inventário de quais usuários utilizam assistentes de IA no Chrome e aplicar políticas de versão mínima em endpoints gerenciados.Monitorar atividade anômala de extensões após visitas a sites não confiáveis, especialmente em fluxos que envolvam iframes e mensagens cross-origin também pode ser uma boa alternativa.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.