تكشف ثغرة Claude for Chrome أن إضافة كروم خبيثة قد تدفع الأداة لقراءة رسائل Gmail والمستندات والتقويم، خصوصاً عند تفعيل العمل التلقائي.
ما هي ثغرة Claude for Chrome ولماذا تثير القلق؟
المشكلة تتعلق بطريقة تفاعل إضافة Claude for Chrome مع الصفحة داخل claude.ai، حيث يمكن لإضافة متصفح أخرى تملك صلاحية الوصول إلى الصفحة أن ترسل نقرة مزيفة تبدو وكأنها صادرة من المستخدم.
هذا يعني أن المهاجم لا يحتاج إلى كسر الحماية بالكامل، بل يكفيه استغلال آلية التشغيل نفسها لتحميل مهام جاهزة مرتبطة بخدمات Google. ووفقاً لمتابعة تيكبامين، يزداد الخطر عندما يعتمد المستخدم على التشغيل السريع دون مراجعة يدوية.
كيف تعمل آلية الاستغلال؟
الإضافة تعتمد على عنصر محدد داخل الصفحة لتشغيل مهام مسبقة. وعندما يتم تمرير معرف مهمة مسموح بها، تفتح اللوحة الجانبية وتجهز الطلب المناسب تلقائياً.
- قراءة رسائل Gmail الحديثة
- الوصول إلى آخر مستند Google Docs والتعليقات
- سحب بيانات من Google Calendar
- تنفيذ المهمة عبر نقرة برمجية مزيفة
كيف يمكن لإضافات كروم خبيثة الوصول إلى Gmail؟
السيناريو الأخطر يبدأ عندما تكون هناك إضافة أخرى مثبتة في المتصفح وقادرة على قراءة أو تعديل البيانات على نطاق claude.ai. في هذه الحالة يمكنها إنشاء العنصر المطلوب داخل الصفحة ثم إرسال نقرة اصطناعية لتشغيل المهمة.
في الوضع الافتراضي، سيظهر مربع موافقة قبل تنفيذ الإجراء النهائي، ما يمنح المستخدم فرصة لإيقاف العملية. لكن عند تفعيل خيار العمل من دون سؤال، تختفي هذه الخطوة، وتصبح القراءة أو التنفيذ أكثر خطورة.
ما الفرق بين الوضع العادي والوضع التلقائي؟
- الوضع العادي: يتطلب موافقة المستخدم قبل المتابعة
- الوضع التلقائي: يسمح بالتنفيذ من دون نافذة تأكيد
- الخطر الأساسي: استغلال نقرة مزيفة لتشغيل مهمة موثوقة ظاهرياً
ما البيانات التي قد تتأثر بهذه الثغرة؟
البيانات المعرضة للخطر ليست عشوائية، بل ترتبط بالمهام المسموح بها داخل الإضافة. لذلك قد يجد المستخدم نفسه أمام وصول غير مقصود إلى بريده الإلكتروني أو آخر ملف عمل نشط أو أحداث التقويم اليومية.
هذا النوع من الثغرات مهم لأنه يجمع بين إضافات كروم والصلاحيات الواسعة لخدمات Google، وهو ما يرفع حساسية الموقف للمستخدمين الذين يعتمدون على Claude في العمل والإنتاجية.
- رسائل البريد الإلكتروني الحديثة
- مستندات العمل النشطة وتعليقاتها
- مواعيد التقويم والتنبيهات المرتبطة بها
كيف تحمي نفسك من ثغرة Claude for Chrome الآن؟
حتى الآن، أفضل خطوة عملية هي إيقاف خيار التشغيل التلقائي ومراجعة كل إضافة تمتلك صلاحية الوصول إلى claude.ai. كما يُنصح بحذف أي إضافة غير معروفة أو غير ضرورية، لأن وجودها وحده قد يفتح باب الاستغلال.
وتنصح تيكبامين أيضاً بمراقبة نوافذ الموافقة داخل المتصفح وعدم تمرير أي طلب غير متوقع. إلى أن يصل تحديث نهائي، تبقى ثغرة Claude for Chrome تذكيراً واضحاً بأن مزايا الأتمتة السريعة قد تتحول إلى نقطة ضعف إن لم تُضبط بصلاحيات صارمة.