Manifold diz que duas falhas na extensão Claude for Chrome continuam por corrigir oito versões depois

A empresa de segurança Manifold Security afirma que duas vulnerabilidades que reportou à Anthropic em maio permanecem por corrigir na extensão Claude for Chrome, oito versões depois. Segundo a investigação, as falhas permitiriam que uma extensão de navegador maliciosa levasse o assistente de IA a executar ações em nome do utilizador — como ler mensagens do Gmail, documentos do Google Docs e entradas do calendário — sem um clique ou aprovação genuínos.

Resposta rápida: a Manifold Security reportou duas falhas na extensão Claude for Chrome a 21 de maio de 2026, contra a versão 1.0.72. A Anthropic reconheceu-as no dia seguinte, mas fechou ambos os relatórios — um por estar, segundo a empresa, já abrangido por um problema interno em aberto relacionado com a vulnerabilidade anterior “ClaudeBleed”, o outro por ser considerado de baixo risco prático. A Manifold afirma que, ao verificar a versão 1.0.80 (lançada a 7 de julho), o código em causa permanece idêntico ao original. À data da divulgação pública, a Anthropic não tinha publicado uma resposta.

A origem: o caso ClaudeBleed

As duas falhas estão ligadas a uma correção que a Anthropic aplicou no início do ano em resposta a uma vulnerabilidade anterior, divulgada pela empresa LayerX e apelidada de ClaudeBleed. Essa atualização limitou os comandos que uma página externa podia enviar ao Claude, restringindo a superfície de exposição a um conjunto fixo de tarefas pré-aprovadas.

Na prática, a partir da versão 1.0.72 a extensão passou a aceitar apenas nove identificadores de tarefa pré-definidos — entre eles instruções como usecase-gmail, usecase-gdocs e usecase-calendar. A intenção era impedir que sítios de terceiros injetassem comandos arbitrários no assistente. A própria Anthropic descreveu esta lista como uma mitigação inicial para o ClaudeBleed, até à disponibilização de uma correção completa.

Falha 1: cliques sintéticos que a IA aceita como legítimos

Segundo Ax Sharma, investigador da Manifold, o problema está em como a extensão trata a interação do utilizador antes de executar uma ação privilegiada. O script de conteúdo do Claude escuta cliques num botão específico e reencaminha o comando correspondente para o painel lateral do assistente. O detalhe crítico: o mecanismo não verifica se o clique foi genuinamente iniciado por um utilizador — ou seja, não valida a propriedade event.isTrusted do navegador.

Isto significa que qualquer outra extensão com acesso de script ao domínio claude.ai — uma permissão comum — poderia inserir o elemento correspondente na página e disparar um clique sintético. O Claude interpretaria esse evento gerado por código como intenção real do utilizador, executando uma das tarefas pré-aprovadas de leitura de dados. A Manifold demonstra o ataque com apenas seis linhas de JavaScript.

No modo predefinido da extensão (“Ask before acting” / perguntar antes de agir), a ação ainda faz surgir uma janela de aprovação antes de aceder a dados sensíveis, o que atribui à falha uma classificação CVSS de 7,7 (elevada). O risco agrava-se, porém, quando entra em cena a segunda vulnerabilidade.

Falha 2: permissões definidas por parâmetro de URL

A segunda falha reside na forma como o painel lateral inicializa o seu estado de permissões. De acordo com a Manifold, esse estado pode ser definido através de um parâmetro no URL. Se esse valor colocar a extensão no modo mais autónomo — “Act without asking” (agir sem perguntar) —, a inteligência artificial adquire autonomia para atuar sem solicitar qualquer permissão adicional.

Como não existe um mecanismo de confirmação explícita para esta transição de privilégios, a combinação das duas falhas abre caminho a um cenário de impacto crítico e silencioso: um agente externo poderia forçar a abertura do assistente já com acesso total, sem que fosse apresentado qualquer aviso ao utilizador. A Manifold sublinha que a segunda falha não é, isoladamente, explorável à distância — mas é o que remove a etapa de aprovação caso a primeira seja acionada.

A cronologia da divulgação

A Manifold reportou ambas as falhas a 21 de maio de 2026, pouco depois da divulgação pública do ClaudeBleed. A Anthropic reconheceu os relatórios no dia seguinte e encerrou-os: fechou o relativo aos cliques sintéticos por considerar que o problema de fundo já estava a ser acompanhado no âmbito do ClaudeBleed (descrito como “em aberto, a aguardar correção completa”), e classificou o relativo ao parâmetro de URL como “informativo”, argumentando que o parâmetro só é definido pela própria extensão para tarefas que o utilizador já tenha autorizado a correr sem supervisão.

Segundo a Manifold, o problema interno destinado a cobrir esta classe de vulnerabilidade foi marcado como “resolvido” antes de 9 de junho. No entanto, a empresa afirma que, ao verificar a versão 1.0.80 a 7 de julho, o script de conteúdo e a inicialização do painel lateral permaneciam idênticos, byte a byte, à versão 1.0.72 originalmente testada — apesar de oito lançamentos entretanto publicados. A equipa refere não saber se “resolvido” significa que uma correção ainda está planeada ou se o risco residual foi assumido. À data da divulgação, várias publicações especializadas — entre elas a SecurityWeek, a The Hacker News e a CSO Online — indicaram ter contactado a Anthropic sem resposta imediata.

Porque é que isto importa

O caso ilustra um desafio recorrente na segurança dos chamados agentes de IA que operam no navegador. Ambas as falhas se enquadram em duas categorias do OWASP Top 10 para modelos de linguagem: a injeção indireta de prompts e a agência excessiva — situações em que um assistente com permissões alargadas pode ser induzido a agir contra o interesse do utilizador. A dificuldade adicional, nota a Manifold, é que este tipo de compromisso é praticamente invisível às ferramentas tradicionais de monitorização: um gateway de rede vê apenas tráfego HTTPS autenticado para claude.ai e um sistema de deteção no equipamento vê apenas uma extensão de navegador em funcionamento, sem nada de anormal nos registos.

Para os utilizadores e organizações em Portugal que integram assistentes de IA nos seus fluxos de trabalho, o episódio reforça algumas boas práticas independentes deste caso concreto: limitar o número de extensões instaladas no navegador — sobretudo as que pedem acesso a páginas onde correm ferramentas sensíveis —, rever periodicamente as permissões concedidas, e privilegiar os modos que exigem confirmação explícita antes de qualquer ação automática. A exposição descrita pela Manifold exige, recorde-se, que o equipamento já tenha instalada uma segunda extensão maliciosa com acesso ao domínio do assistente.

A vulnerabilidade recorda ainda a importância da divulgação responsável e do acompanhamento das correções: uma falha marcada como “resolvida” internamente não equivale necessariamente a código corrigido em produção, e a verificação independente por parte de investigadores externos continua a ser um mecanismo essencial de escrutínio.

Esta informação tem caráter noticioso e baseia-se em investigação publicada pela Manifold Security e em reportagem de meios especializados como a SecurityWeek, a The Hacker News e a CSO Online. A Cibersegurança.PT acompanha o tema de forma estritamente factual.