로그인
보증업체
스포츠중계
스포츠분석
먹튀사이트
지식/노하우
판매의뢰
업체홍보/구인
뉴스
커뮤니티
포토
포인트
보증카지노
보증토토
보증홀덤
스포츠 중계
기타
축구
야구
농구
배구
하키
미식축구
카지노 먹튀
토토 먹튀
먹튀제보
카지노 노하우
토토 노하우
홀덤 노하우
기타 지식/노하우
유용한 사이트
제작판매
제작의뢰
게임
구인
구직
총판
제작업체홍보
실시간뉴스
스포츠뉴스
연예뉴스
IT뉴스
자유게시판
유머★이슈
동영상
연예인
섹시bj
안구정화
출석하기
포인트 랭킹
포인트 마켓
로그인
자동로그인
회원가입
정보찾기
뉴스
더보기
[실시간뉴스]
軍 다목적 무인차량 사업에 한화에어로스페이스 최종 선정(종합)
N
[실시간뉴스]
'보수 강원 맹주' 의원직 상실…포스트 권성동은 누구?(종합)
N
[실시간뉴스]
노사정, 인구 변화 일자리 영향 머리 맞댄다…공론화특위 발족(종합)
N
[IT뉴스]
AWS “AI 개발, 코딩 넘어 기획부터 배포까지… ‘AI-DLC’가 생산성 좌우”
N
[IT뉴스]
AI 데이터센터 키우려면…산업계 "세액공제 늘리고 인허가 빨라져야" [현장]
N
커뮤니티
더보기
[자유게시판]
드디어 금요일이군요
[자유게시판]
오늘 다저스 어떻게 생각하시나요
[자유게시판]
하아 댓노
[자유게시판]
식곤증지립니다요
[자유게시판]
벌써 불금이네요
목록
글쓰기
[IT뉴스]합성 클릭에 뚫린 AI... 클로드 크롬 확장 프로그램, 권한 탈취 취약점 노출
온카뱅크관리자
조회:
12
2026-07-16 14:17:28
<div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="6hLU2u0Hsv"> <p contents-hash="f01f450b2007c11e49e505dbff6795603723a67077122440d18ecf9309d03104" dmcf-pid="PlouV7pXOS" dmcf-ptype="general"><strong>이벤트 신뢰성 검증 누락 악용한 지메일 열람 메커니즘 경고<br>‘묻지 않고 실행’ 모드에서 CVSS 9.6... 자동화 해제 조치 필요</strong></p> <p contents-hash="48088b71414b86fe53df7c25b2f8a6cfcf0c679eb8f63df4919975c9aa181968" dmcf-pid="QSg7fzUZsl" dmcf-ptype="general">[보안뉴스 김형근 기자] 앤트로픽의 공식 브라우저 확장 프로그램 ‘클로드 포 크롬’(Claude for Chrome)에시 권한 탈취 취약점이 발견됐다. 이 취약점을 악용하면 제3의 외부 확장 프로그램이 사용자의 지메일, 구글 문서, 캘린더 데이터에 무단 접근할 수 있다.</p> <figure class="figure_frm origin_fig" contents-hash="78db7d95b33845cb8ec6c9253b38b4f76fbd1846f4fde1e46dddf9590e07a714" dmcf-pid="xvaz4qu5Dh" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202607/16/552815-KkymUii/20260716141201055slcv.jpg" data-org-width="1000" dmcf-mid="8FLU2u0HET" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/16/552815-KkymUii/20260716141201055slcv.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: 생성형 AI 이미지 활용] </figcaption> </figure> <div contents-hash="2b17d675797e30e223bf9b401ed8345818cd863e21c8ec8f47102650688fa506" dmcf-pid="yP3EhDcnDC" dmcf-ptype="general"> <br>이 취약점은 브라우저 내 이벤트 신뢰성 검증 누락 때문에 생겼다. 확장 프로그램의 콘텐츠 스크립트가 클릭 이벤트를 처리할 때 사용자가 직접 클릭한 것인지 스크립트가 강제로 발생시킨 것인지 판별하는 브라우저 내장 플래그인 신뢰성(isTrusted) 여부를 전혀 검증하지 않는다. </div> <p contents-hash="7679d6549f2220be1206f141acee006a7733992eca23f46958098cf1904d84f3" dmcf-pid="WQ0DlwkLDI" dmcf-ptype="general">이로 인해 ‘claude.ai’ 도메인에 접근할 수 있는 임의의 다른 확장 프로그램이 합성 클릭(Synthetic click)을 발생시켜 클로드의 부가 기능을 임의로 통제할 수 있게 된다. 해커들은 앤트로픽이 과거 ‘클로드블리드’(ClaudeBleed) 사태 이후 보안을 위해 하드코딩해 둔 9개의 사전 승인 작업 목록 아이디를 호출하는 방식으로 시스템의 신뢰 경계를 우회한다.</p> <p contents-hash="3e6ff0e02de5b6660396bdb3886090ff160f7a302309490902594ba1f4c44045" dmcf-pid="YxpwSrEoOO" dmcf-ptype="general">이 취약점을 발견한 미국 보안 기업 매니폴드시큐리티는 “이 취약점이 대규모언어모델(LLM) 애플리케이션의 대표적 보안 위협인 ‘간접 프롬프트 인젝션’(Indirect Prompt Injection) 메커니즘과 일치한다”며 “모델 자체의 결함이 아닌 확장 프로그램의 권한 통제 실패로 발생하는 전형적인 ‘혼동된 대리자’(Confused Deputy) 문제”라고 분석했다.</p> <p contents-hash="7c2eefe2aad06e2f113925ad6f1eab8f1e64178d79bc9e920d65bcc543cad7ec" dmcf-pid="GMUrvmDgIs" dmcf-ptype="general">이 취약점의 위험도는 클로드 확장 프로그램에 실행 모드 설정에 따라 갈린다. ‘묻고 실행하기’ 모드에서는 조작된 작업이 실행되기 전 사용자 승인 창이 노출되며, 이 경우 공통취약점평가시스템(CVSS) 기준 7.7이다.</p> <p contents-hash="92404177143cf9e6d3f46c43814f39835a6d07ced7c77a5e8443703c81fde246" dmcf-pid="HEQXUZGhsm" dmcf-ptype="general">하지만 사용자가 자동화 편의성을 위해 ‘묻지 않고 실행’ 모드를 켠 상태라면 상황은 달라진다. 공격 스크립트가 승인 절차 없이 백그라운드에서 조용히 민감한 계정 데이터를 읽어낼 수 있다. 이는 최고 수준 위험도인 CVSS 9.6이다. 추가로 URL 매개변수를 조작해 강제로 권한 확인을 건너뛸 수 있는 잠재적 취약점 경로도 확인됐다.</p> <p contents-hash="7ebc41e13a399bcf2382b5e36accd527c44533ba3d34e66aebd00aede48a0b4c" dmcf-pid="XDxZu5Hlwr" dmcf-ptype="general">매니폴드시큐리티는 5월 이 결함을 앤트로픽에 공유했다. 하지만 14일 기준 배포된 최신 버전 1.0.80 빌드에서도 문제의 코드는 바이트 단위까지 동일하게 방치된 것으로 확인됐다.</p> <p contents-hash="f33f2c8eaf2ac71fddb1bc6f3224f471e34d4f217b62f39754e1e0836baae377" dmcf-pid="ZwM571XSIw" dmcf-ptype="general">이 취약점에 대해 클로드 포 크롬 이용자들은 브라우저 보안 정책을 확인해 자동 실행 모드를 해제하고, ‘claude.ai’ 도메인 접근 권한을 가진 불필요한 제3자 확장 프로그램을 일괄 삭제해 잠재적 크로스사이트스크립팅(XSS) 공격 표면을 최소화해야 피해를 방지할 수 있다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p>
댓글등록
댓글 총
0
개
맨위로
이번주
포인트
랭킹
매주 일요일 밤 0시에 랭킹을 초기화합니다.
1
4,000
상품권
2
3,000
상품권
3
2,000
상품권
업체홍보/구인
더보기
[구인]
유투브 BJ 구인중이자나!완전 럭키비키자나!
[구인]
에카벳에서 최대 조건으로 부본사 및 회원님들 모집합니다
[구인]
카지노 1번 총판 코드 내립니다.
[구인]
어느날 부본사 총판 파트너 모집합니다.
[구인]
고액전용 카지노 / 헬렌카지노 파트너 개인 팀 단위 모집중 최고우대
지식/노하우
더보기
[카지노 노하우]
혜택 트렌드 변화 위험성 다시 가늠해 보기
[카지노 노하우]
호기심이 부른 화 종목 선택의 중요성
[카지노 노하우]
카지노 블랙잭 카드 조합으로 히트와 스탠드를 결정하는 방법
[카지노 노하우]
흥부가 놀부될때까지 7
[카지노 노하우]
5월 마틴하면서 느낀점
판매의뢰
더보기
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
[제작판매]
html5웹미니게임제작 해시게임제작 카드포커게임제작 스포츠토토 카지노 슬롯 에볼루션 토지노 솔루션분양임대재작
포토
더보기
채팅하기