Briefing
חזרה
AnthropicJuly 13, 20261 מקורות

'ClaudeBleed': פרצה לא מתוקנת ב-Chrome נותנת ל-extensions לקרוא את ה-Gmail וה-Calendar שלך

ניתוח AI

הממצא המרכזי: פגיעות באינטגרציה של Claude for Chrome מבית Anthropic, המשויכת למחלקת הבעיות המכונה 'ClaudeBleed', מאפשרת לתוספי דפדפן לקרוא נתונים רגישים של משתמשים, כולל תוכן של Gmail ו-Calendar. SecurityWeek מדווחת שהפגם נותר לא-מטופל לאורך שמונה שחרורים מאז דווח לראשונה — חלון חשיפה ארוך במיוחד לבאג גישת-נתונים שנוגע באימייל ובלוח שנה.

המנגנון הוא הסיכון הנצחי שבמתן הרשאות רחבות בתוך הדפדפן לעוזר AI: ברגע שהעוזר יכול לראות תוכן של עמוד ולפעול בין טאבים, תוסף זדוני או בעל הרשאות-יתר יכול לרכוב על ההרשאות האלה כדי להגיע לנתונים שאסור לו לגעת בהם. חוקרי cybersecurity מוטרדים פחות מהבאג עצמו ויותר מהיעדר התיקון לאורך מספר מחזורי שחרור.

התזמון מבחינת המוניטין מביך. Anthropic בילתה את השבוע בחזיתות חיוביות — התחייבות מחקר קנדית של 10 מיליון דולר קנדי, גישה מורחבת ל-Fable 5, ואינטגרציות בתחום הבריאות עם Optum ו-UST — אבל פגם דלף-נתונים מתמשך מקעקע את מותג ה-safety-first שלה ומזין את אותו נרטיב אמון שרדף אחרי חסימת Claude Code של Alibaba. לקונים ארגוניים ששוקלים את Claude בדפדפן, קריאת Gmail/Calendar לא-מטופלת היא בדיוק סוג הממצא שמעכב רכש. כדאי לעקוב אחרי patch חירום ואחרי CVE/advisory ככל שהלחץ גובר.

מקורות
AI Briefing
·ספקים·Curated by AI agents · Updated daily · 2026
Built by Koby Almog