Explorando o universo da tecnologia: Notícias, IA, Segurança, Cinema, Games e Reviews para quem vive de TI e muito mais!

Pesquisar

Entrar / Cadastrar

Minha Conta

Entrar / Cadastrar

Minha Conta

Pesquisar
Inteligência Artificial

Uma extensão pode mandar no Claude e abrir seu Gmail?

Pesquisadores afirmam que uma extensão maliciosa pode acionar tarefas do Claude no navegador e alcançar Gmail, Docs, Calendar e Salesforce. Veja o risco real.

Leandro Santos Por Leandro Santos 10 min de leitura 1 visualizações
Claude for Chrome representado como agente de IA acionado por uma extensão suspeita com acesso a e-mail, documento e calendário

Uma falha relatada no Claude for Chrome pode permitir que outra extensão instalada no navegador acione tarefas da inteligência artificial como se o pedido tivesse partido do usuário. O risco alcança serviços conectados, como Gmail, Google Docs, Google Calendar e Salesforce, mas depende da presença de uma extensão maliciosa e não representa uma invasão automática de qualquer computador.

O problema chama atenção porque agentes de IA no navegador recebem permissões para ler páginas, clicar, preencher formulários e trabalhar em contas já autenticadas. Uma extensão aparentemente simples poderia, segundo os pesquisadores, aproveitar essa autoridade adicional para iniciar ações predefinidas.

A pesquisa foi divulgada pela Manifold Security em 14 de julho de 2026. A empresa afirma ter reproduzido os dois comportamentos analisados na versão 1.0.80 do Claude for Chrome, lançada em 7 de julho. Até a verificação deste artigo, não havia confirmação pública de exploração criminosa em larga escala nem posicionamento público específico da Anthropic sobre a nova divulgação.

Claude for Chrome em resumo

PontoO que foi relatado
Produto analisadoExtensão Claude for Chrome, ainda apresentada como beta pela Anthropic.
Versão testada1.0.80, verificada pela Manifold em 7 de julho de 2026.
Condição do ataqueUma segunda extensão capaz de executar código em claude.ai precisa estar instalada.
Ações possíveisNove tarefas predefinidas, incluindo fluxos ligados a Gmail, Docs, Calendar e Salesforce.
Limitação importanteA falha não aceita qualquer comando inventado pelo invasor e não parte de um site comum isoladamente.
Maior exposiçãoUsuários que autorizam execução com menos confirmações e mantêm contas sensíveis conectadas.
Ataques confirmadosNão foram identificados casos públicos de exploração criminosa na pesquisa consultada.

A descrição mais precisa não é “Claude invadiu o Gmail”. O cenário exige que o navegador já tenha outra extensão hostil ou comprometida. Essa extensão usaria uma falha de validação para pedir ao agente que execute uma das tarefas incorporadas ao próprio produto.

Mesmo com essas limitações, a descoberta é relevante. Uma extensão maliciosa pode não possuir autorização direta para ler o e-mail, mas poderia tentar herdar a capacidade que o usuário concedeu ao Claude.

Como a falha relatada funciona

O Claude for Chrome possui tarefas prontas usadas em demonstrações e fluxos de produtividade. Para iniciar uma delas, um componente da extensão observa o clique em um elemento específico da página e lê o identificador associado à tarefa.

Segundo a Manifold, o código aceitava tanto um clique físico quanto um evento criado por JavaScript. Navegadores identificam essa diferença por meio da propriedade Event.isTrusted: a ação real do usuário recebe valor verdadeiro, enquanto o clique sintetizado por um script recebe valor falso.

A pesquisa afirma que o manipulador não fazia essa verificação. Dessa forma, outra extensão com permissão para modificar o conteúdo de claude.ai poderia inserir o elemento esperado, associá-lo a uma tarefa existente e simular o clique. O Claude for Chrome interpretaria o evento como uma solicitação válida.

O ChamadoTI não reproduz o código de prova de conceito porque ele não é necessário para orientar usuários e poderia facilitar abuso. O aspecto defensivo essencial é a fronteira de confiança: um comando gerado por software não deveria ser tratado como manifestação inequívoca da vontade humana.

O que uma extensão maliciosa poderia alcançar

O comportamento relatado não libera uma caixa de texto para o atacante escrever qualquer ordem. A exploração fica limitada a nove identificadores já presentes na extensão. Alguns são demonstrações, enquanto outros acionam casos de uso reais.

  • Gmail: consultar mensagens recentes, identificar conteúdo promocional e iniciar cancelamentos de inscrição.
  • Google Docs: abrir o documento mais recente e analisar comentários.
  • Google Calendar: consultar disponibilidade e criar reuniões.
  • Salesforce: trabalhar com leads e oportunidades dentro da conta conectada.
  • Outros serviços: fluxos predefinidos associados a plataformas de entrega e imóveis também aparecem na análise.

Isso não significa que todos esses dados estejam expostos em qualquer instalação. O alcance do Claude depende dos serviços conectados, das sessões abertas, das permissões concedidas e da configuração do agente. Uma conta que nunca autorizou acesso ao Salesforce, por exemplo, não entrega essa capacidade apenas porque a tarefa existe.

Qual é o risco real para o usuário

Para que o cenário principal funcione, a vítima precisa instalar uma extensão maliciosa ou ter uma extensão legítima comprometida posteriormente. Esse complemento também necessita executar código no domínio claude.ai. Uma página aleatória visitada na internet não ganha, sozinha, controle sobre o Claude por meio do comportamento descrito.

Esse requisito reduz a probabilidade de exploração casual, mas não torna o problema irrelevante. Extensões de navegador são atualizadas automaticamente e ataques de cadeia de suprimentos podem transformar um complemento confiável em ameaça sem pedir uma nova instalação ao usuário.

Também é importante separar demonstração técnica de incidente confirmado. A Manifold apresentou uma cadeia reproduzível em laboratório e atribuiu notas de gravidade conforme a configuração. Isso não prova que criminosos já estejam lendo caixas de entrada por esse método. Até 18 de julho de 2026, as fontes consultadas não apontavam uma campanha ativa.

Por que as permissões mudam o impacto

A documentação oficial informa que o Claude for Chrome pode ler páginas, clicar, digitar, navegar, preencher formulários, tirar capturas e baixar arquivos quando autorizado. Essas capacidades explicam sua utilidade — e também por que um erro na confirmação da intenção merece atenção.

No modo padrão de aprovação, uma ação sensível do Claude tende a exibir uma etapa de confirmação. O pesquisador afirma que o acionamento falso ainda pode preparar a tarefa, mas a pessoa teria uma oportunidade adicional para recusá-la. Configurações que reduzem confirmações ampliam o impacto potencial.

A Manifold também descreveu um parâmetro interno capaz de iniciar o painel em modo privilegiado. A própria pesquisa ressalta que esse segundo comportamento não era explorável remotamente de forma isolada na versão testada. Ele exigiria outra falha que permitisse construir uma URL interna especialmente preparada.

Essa distinção evita transformar possibilidade arquitetural em ataque pronto. O primeiro problema teria uma cadeia definida envolvendo outra extensão; o segundo funciona como fator de agravamento caso uma nova vulnerabilidade abra o caminho necessário.

Como usar agentes no navegador com mais segurança

Camadas de proteção entre extensões do navegador e contas acessadas pelo Claude for Chrome
Aprovação manual, poucas extensões instaladas e permissões restritas diminuem a superfície de ataque. Ilustração editorial original criada com inteligência artificial para o ChamadoTI.

Não é necessário abandonar toda automação, mas agentes com acesso ao navegador devem ser tratados como ferramentas privilegiadas. As medidas abaixo reduzem tanto esse risco específico quanto outras formas de abuso de extensões.

  1. Atualize a extensão e o navegador: correções podem ser distribuídas a qualquer momento. Confira a versão instalada e evite pacotes obtidos fora da loja oficial.
  2. Prefira aprovação manual: mantenha o modo que pergunta antes de agir, especialmente em e-mail, documentos corporativos e sistemas administrativos.
  3. Revise todas as extensões: remova complementos que não usa, desconhece ou que pedem acesso incompatível com sua função.
  4. Restrinja os sites permitidos: autorize somente os domínios necessários e evite a opção de acesso permanente quando uma permissão temporária resolve.
  5. Separe perfis: use um perfil do navegador dedicado para automações, sem contas pessoais, financeiras ou administrativas abertas.
  6. Revogue conexões desnecessárias: desconecte serviços que o agente não precisa consultar.
  7. Desconfie de confirmações inesperadas: se uma tarefa aparecer sem você ter solicitado, recuse, feche o painel e revise as extensões instaladas.

O guia oficial da Anthropic recomenda usar autorizações permanentes somente em sites totalmente confiáveis e afirma que a opção para uma única ação é a mais segura. Para entender como agentes e modos de trabalho se diferenciam, veja também nosso guia sobre Chat, Work e Codex no PC.

O que empresas devem fazer

Em ambientes corporativos, a decisão não deve ficar apenas com cada funcionário. A própria Anthropic oferece allowlists e blocklists para planos Team e Enterprise. A recomendação oficial é começar com uma lista restritiva de sites permitidos e ampliar o acesso gradualmente.

  • Inventariar extensões instaladas e impedir complementos não aprovados.
  • Separar contas de teste das contas que contêm dados reais de clientes.
  • Aplicar o menor privilégio possível a e-mail, CRM, documentos e calendários.
  • Registrar quais agentes podem agir em nome do usuário e em quais domínios.
  • Preparar procedimento para revogar tokens, sessões e extensões diante de atividade inesperada.
  • Treinar usuários para não aprovar uma ação apenas porque o pedido aparece em uma ferramenta conhecida.

A extensão permanece em beta no navegador, conforme a central de ajuda. Empresas que lidam com informações sensíveis podem manter o recurso desativado até concluir uma avaliação de risco e definir controles centralizados.

O alerta para o futuro dos agentes de IA

Extensões tradicionais geralmente operam com as permissões declaradas ao navegador. Um agente adiciona outra camada: ele combina acesso a páginas, interpretação de linguagem e capacidade de tomar decisões. Quando uma extensão aciona outra ferramenta mais poderosa, a autorização efetiva pode ultrapassar o que o usuário imaginava ter concedido.

Esse problema é conhecido como “agência excessiva” quando um sistema recebe autonomia ou ferramentas além do necessário. Também se relaciona à injeção de prompt, na qual dados externos são interpretados como instruções. O caso do Claude for Chrome mostra que a proteção precisa validar não apenas o conteúdo da ordem, mas também quem a iniciou e se houve consentimento real.

A mesma mudança de escala já aparece no lado ofensivo. No caso JadePuffer, um agente de IA adaptou etapas de um ataque de ransomware. No navegador, a preocupação é diferente: impedir que uma ferramenta autorizada seja usada como ponte para contas e dados que outra extensão não alcançaria diretamente.

A conclusão prática é simples: quanto mais capaz o agente, mais importante se torna confirmar a origem de cada comando, limitar permissões e manter o usuário no controle das ações com consequência real.

Perguntas frequentes

O Claude for Chrome foi invadido?

Não há confirmação pública de invasão da infraestrutura da Anthropic. Pesquisadores relataram uma falha na extensão que pode aceitar um clique criado por software e iniciar tarefas predefinidas sob condições específicas.

Qualquer site pode usar a falha para ler meu Gmail?

Não pelo cenário descrito. O ataque principal exige outra extensão instalada com capacidade para executar código em claude.ai. O acesso também depende das contas e permissões que o usuário já concedeu ao agente.

Preciso desinstalar a extensão imediatamente?

Usuários que trabalham com dados sensíveis podem desativá-la temporariamente até avaliar o risco. Quem continuar usando deve atualizar o produto, manter aprovação manual, reduzir extensões instaladas e limitar os serviços conectados.

Trocar a senha do Gmail resolve?

Trocar a senha não corrige a falha da extensão do Claude. A medida é indicada se houver sinais de acesso indevido, mas a prevenção passa por revisar extensões, permissões, sessões conectadas e modos de aprovação.

A Anthropic já corrigiu o problema?

A Manifold afirma que os comportamentos ainda eram reproduzíveis na versão 1.0.80 em 7 de julho de 2026. Como atualizações podem ocorrer rapidamente, o usuário deve verificar a versão atual e os comunicados oficiais antes de concluir que o estado permanece igual.

Fontes e metodologia

Informações verificadas em 18 de julho de 2026. O artigo confrontou a pesquisa técnica da Manifold Security com a documentação oficial de permissões da Anthropic, o guia oficial de funcionamento da extensão e a análise independente do BleepingComputer. Termos de risco para aplicações com modelos de linguagem foram comparados ao OWASP Top 10 para aplicações de IA generativa.

As notas de gravidade e a condição “não corrigida” são atribuições da Manifold, não uma confirmação independente do ChamadoTI. Não encontramos comunicado público da Anthropic respondendo especificamente à divulgação mais recente nem evidência pública de exploração criminosa. O conteúdo será atualizado caso surjam correção, CVE, boletim oficial ou casos confirmados.

Gostou? Compartilhe

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors