随着AI得到广泛应用，许多安全研究人员开始投入相关漏洞研究。过去，他们主要在AI助手或网页版服务中发现弱点，如今有安全公司发现，浏览器扩展程序也可能成为黑客控制AI助手的途径。

安全公司Koi Security披露了一种新型攻击手法——ShadowPrompt，指出Claude的Chrome扩展程序存在严重安全漏洞。攻击者只需诱导用户访问恶意网站，即可在无需任何交互的情况下，暗中操控AI助手的行为。对此，Anthropic已于2025年底收到通报后完成修复，新版扩展程序强制要求请求来源必须完全符合claude.ai主域名，并封堵了相关漏洞，降低了被滥用的风险。

在ShadowPrompt攻击模式中，攻击者可通过任意网站将恶意提示注入Claude，系统会将其视为用户自行输入的指令，整个过程无需点击或授权，属于典型的零点击（Zero-click）攻击场景。

技术上，ShadowPrompt由两个漏洞串联而成。首先，该扩展程序的来源白名单过于宽松，允许所有符合*.claude.ai的子域名发送指令；其次，攻击链结合了第三方CAPTCHA组件中的DOM型跨站脚本漏洞（DOM-based XSS），使攻击者能够在合法域名的上下文中执行恶意JavaScript代码。

攻击流程中，黑客可将含有漏洞的CAPTCHA组件嵌入隐藏的iframe，通过postMessage发送XSS载荷，随后注入代码，触发Claude扩展程序执行恶意指令。由于请求来源符合白名单，系统不会进一步验证，导致恶意指令可直接进入AI助手界面。

一旦攻击成功，黑客即可滥用AI助手的高权限能力，读取用户文件、访问云端数据、导出对话记录，甚至代替用户发送消息等操作，相当于获得了浏览器层面的控制权。