比推消息，据 GoPlus 援引 Koi 报告，Anthropic 旗下 Claude Chrome 扩展程序存在一个高危提示词注入漏洞，所有低于 1.41 版本的扩展均受影响。

攻击者可通过构造恶意网页，在后台静默加载含跨站脚本（XSS）漏洞的 iframe，并在 a-cdn.claude.ai 子域内执行恶意载荷。由于该子域处于扩展程序的信任白名单内，攻击者可直接向 Claude 扩展下发恶意提示词并自动执行，整个过程无需用户授权或任何点击操作，受害者无感知。该漏洞可导致攻击者操控 Claude 扩展读取用户 Google Drive 文档、窃取业务访问令牌或导出聊天记录，并可借此接管当前浏览器会话，以受害者身份执行发送邮件等敏感操作。GoPlus 建议用户立即将 Claude 扩展更新至 1.41 或以上版本，同时警惕钓鱼链接。