Claude voor Chrome bevat een kritiek lek waarmee een kwaadaardige browserextensie de AI-assistent stiekem taken kan laten uitvoeren op je Gmail, Google Agenda en Salesforce, meldt beveiligingsbedrijf Manifold Security. De fout zit nog in de nieuwste versie 1.0.80 en is niet gedicht.
Het risico zit niet in Claude die uit zichzelf op hol slaat, maar in de toegang die je de assistent geeft. Wie een AI-agent koppelt aan zijn zakelijke mailbox, agenda of CRM, geeft die agent de sleutels tot bedrijfsdata. Dit lek laat zien dat een tweede, onschuldig ogende extensie in dezelfde browser die sleutels kan meepakken en de agent voor zijn karretje kan spannen. Voor een Nederlandse ondernemer verschuift daarmee de vraag van "is dit AI-model te vertrouwen?" naar "welke extensies en welke koppelingen staan er eigenlijk naast elkaar aan?".

Twee lekken, geen van beide gedicht
Het zwaarste probleem is een ontbrekende controle: de extensie behandelde nagemaakte klikken als echte gebruikersacties. Browsers markeren door JavaScript gegenereerde klikken met Event.isTrusted = false, maar Claude voor Chrome checkte dat vlaggetje niet. Zes regels code in een kwaadaardige extensie volstaan om een vaste, ingebouwde Claude-workflow af te vuren, zoals het opschonen van promotiemails in Gmail, het uitlezen van reacties in Google Docs, het inplannen van afspraken in Google Agenda of het aanpassen van leads in Salesforce. Staat bij de gebruiker de optie "Act without asking" aan, waarbij Claude zonder bevestiging handelt, dan gebeurt dat volledig stil. Manifold kwalificeert die fout met een kritieke score van 9,6 op 10.
De tweede fout is subtieler. Door een webadres met de parameter ?skipPermissions=true te laden, schuift Claude's zijpaneel in een bevoorrechte modus die de normale toestemmingscontroles overslaat. De waarschuwing verschijnt pas nadat die modus al actief is. Beide fouten vallen onder erkende AI-risico's: prompt-injectie en overmatige handelingsvrijheid van een agent.
Anthropic sloot de meldingen, maar leverde geen patch
Manifold meldde de kwetsbaarheden in mei 2026 bij Anthropic. Het bedrijf reageerde binnen een dag, maar sloot beide meldingen zonder een fix uit te brengen: de klik-fout zou intern al bekend zijn en het toestemmingslek zou van buitenaf niet bereikbaar zijn, iets wat de onderzoekers betwisten. Over acht opeenvolgende versies heen, tot en met 1.0.80 van 7 juli, bleef de code aantoonbaar reproduceerbaar. Er is geen CVE toegekend.
Manifolds advies is nuchter: zet de optie "Act without asking" uit, zodat gevoelige acties altijd om een handmatige bevestiging vragen. Ruim daarnaast onbekende extensies op en geef Claude alleen toegang wanneer je hem actief gebruikt.
Waar dit je governance raakt
De echte les is niet dat Claude onveilig is, maar dat de risicograens bij AI-agents verschoven is van lezen naar handelen. Precies dat is de kern die eerder al opdook toen Microsoft waarschuwde dat aanvallers via vergiftigde toolomschrijvingen een AI-agent kunnen kapen en bedrijfsdata laten lekken. Een agent die mag klikken, versturen en muteren, heeft een aanvalsoppervlak dat een klassieke leestoegang niet heeft.
Daar hoort een concreet beleid bij: welke extensies staan er in de browsers van je team, welke koppelingen met Gmail, Drive, Agenda of Salesforce sta je een agent toe, en handelt die agent standaard mét of zonder bevestiging. Dezelfde week kondigde 1Password nog een route aan waarbij Claude wel kan inloggen op websites maar je wachtwoord nooit het model bereikt; de gedachte is telkens hetzelfde, geef de agent zo min mogelijk en zo laat mogelijk toegang. Een AI-koppeling is pas zo veilig als de minst vertrouwde component die ernaast draait.
Veelgestelde vragen
AI-agent met de handrem erop
Ik bouw AI-agents die precies zoveel toegang tot je mail, agenda en systemen krijgen als ze nodig hebben, en geen klik meer. Van meedenken over het beleid tot het bouwen en zelf hosten van de koppeling.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
