Een beveiligings- en privacy-dashboard met de status van instellingen op een scherm.
Nieuws16 juli · 22:094 leestijd

Kritiek lek in Claude voor Chrome laat andere extensies de AI aansturen

Een kritiek lek in Claude voor Chrome laat kwaadaardige extensies de AI-assistent stil taken laten uitvoeren op Gmail, Agenda en Salesforce. Anthropic sloot de meldingen zonder patch. Wat betekent dat voor je extensie- en agent-beleid?

Claude voor Chrome bevat een kritiek lek waarmee een kwaadaardige browserextensie de AI-assistent stiekem taken kan laten uitvoeren op je Gmail, Google Agenda en Salesforce, meldt beveiligingsbedrijf Manifold Security. De fout zit nog in de nieuwste versie 1.0.80 en is niet gedicht.

Het risico zit niet in Claude die uit zichzelf op hol slaat, maar in de toegang die je de assistent geeft. Wie een AI-agent koppelt aan zijn zakelijke mailbox, agenda of CRM, geeft die agent de sleutels tot bedrijfsdata. Dit lek laat zien dat een tweede, onschuldig ogende extensie in dezelfde browser die sleutels kan meepakken en de agent voor zijn karretje kan spannen. Voor een Nederlandse ondernemer verschuift daarmee de vraag van "is dit AI-model te vertrouwen?" naar "welke extensies en welke koppelingen staan er eigenlijk naast elkaar aan?".

Detailpagina van een browserextensie in de Chrome Web Store met een knop om de extensie te verwijderen. Bron: AHollender (WMF) / Wikimedia Commons (CC BY-SA 4.0)
Detailpagina van een browserextensie in de Chrome Web Store met een knop om de extensie te verwijderen. Bron: AHollender (WMF) / Wikimedia Commons (CC BY-SA 4.0)

Twee lekken, geen van beide gedicht

Het zwaarste probleem is een ontbrekende controle: de extensie behandelde nagemaakte klikken als echte gebruikersacties. Browsers markeren door JavaScript gegenereerde klikken met Event.isTrusted = false, maar Claude voor Chrome checkte dat vlaggetje niet. Zes regels code in een kwaadaardige extensie volstaan om een vaste, ingebouwde Claude-workflow af te vuren, zoals het opschonen van promotiemails in Gmail, het uitlezen van reacties in Google Docs, het inplannen van afspraken in Google Agenda of het aanpassen van leads in Salesforce. Staat bij de gebruiker de optie "Act without asking" aan, waarbij Claude zonder bevestiging handelt, dan gebeurt dat volledig stil. Manifold kwalificeert die fout met een kritieke score van 9,6 op 10.

De tweede fout is subtieler. Door een webadres met de parameter ?skipPermissions=true te laden, schuift Claude's zijpaneel in een bevoorrechte modus die de normale toestemmingscontroles overslaat. De waarschuwing verschijnt pas nadat die modus al actief is. Beide fouten vallen onder erkende AI-risico's: prompt-injectie en overmatige handelingsvrijheid van een agent.

Anthropic sloot de meldingen, maar leverde geen patch

Manifold meldde de kwetsbaarheden in mei 2026 bij Anthropic. Het bedrijf reageerde binnen een dag, maar sloot beide meldingen zonder een fix uit te brengen: de klik-fout zou intern al bekend zijn en het toestemmingslek zou van buitenaf niet bereikbaar zijn, iets wat de onderzoekers betwisten. Over acht opeenvolgende versies heen, tot en met 1.0.80 van 7 juli, bleef de code aantoonbaar reproduceerbaar. Er is geen CVE toegekend.

Manifolds advies is nuchter: zet de optie "Act without asking" uit, zodat gevoelige acties altijd om een handmatige bevestiging vragen. Ruim daarnaast onbekende extensies op en geef Claude alleen toegang wanneer je hem actief gebruikt.

Waar dit je governance raakt

De echte les is niet dat Claude onveilig is, maar dat de risicograens bij AI-agents verschoven is van lezen naar handelen. Precies dat is de kern die eerder al opdook toen Microsoft waarschuwde dat aanvallers via vergiftigde toolomschrijvingen een AI-agent kunnen kapen en bedrijfsdata laten lekken. Een agent die mag klikken, versturen en muteren, heeft een aanvalsoppervlak dat een klassieke leestoegang niet heeft.

Daar hoort een concreet beleid bij: welke extensies staan er in de browsers van je team, welke koppelingen met Gmail, Drive, Agenda of Salesforce sta je een agent toe, en handelt die agent standaard mét of zonder bevestiging. Dezelfde week kondigde 1Password nog een route aan waarbij Claude wel kan inloggen op websites maar je wachtwoord nooit het model bereikt; de gedachte is telkens hetzelfde, geef de agent zo min mogelijk en zo laat mogelijk toegang. Een AI-koppeling is pas zo veilig als de minst vertrouwde component die ernaast draait.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

AI-agent met de handrem erop

Ik bouw AI-agents die precies zoveel toegang tot je mail, agenda en systemen krijgen als ze nodig hebben, en geen klik meer. Van meedenken over het beleid tot het bouwen en zelf hosten van de koppeling.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

1Password laat Claude inloggen zonder je wachtwoord te tonen
Nieuws
4 min

16 jul 16:14

1Password laat Claude inloggen zonder je wachtwoord te tonen

1Password laat AI-assistent Claude inloggen op websites en eenmalige codes invullen zonder dat je wachtwoord ooit het AI-model bereikt. Voor bedrijven die AI-agents browsertaken laten doen, verschuift dat de vraag hoe je toegang veilig deelt.

Anthropic brengt Claude als AI-collega naar Microsoft Teams, pal naast Copilot
Nieuws
5 min

1 jul 02:17

Anthropic brengt Claude als AI-collega naar Microsoft Teams, pal naast Copilot

Anthropic bereidt naar verluidt een Claude-agent voor Microsoft Teams voor, amper een week na de Slack-start. Daarmee landt Claude in de tool waar bijna elk Nederlands bedrijf al zit, recht tegenover Microsoft Copilot.

Model Context Protocol (MCP) uitgelegd voor de niet-developer: wat het is en hoe je weet of jouw software klaar is
Gids
8 min

20 jun 23:05

Model Context Protocol (MCP) uitgelegd voor de niet-developer: wat het is en hoe je weet of jouw software klaar is

MCP is de stekker waarmee AI bij je eigen systemen komt. Zonder code leg ik uit wat het is, en geef ik je de exacte vragen voor je leverancier of IT-partner.

Microsoft traint verkopers om OpenAI en Anthropic op kosten en beveiliging af te vallen
Nieuws
4 min

16 jul 04:14

Microsoft traint verkopers om OpenAI en Anthropic op kosten en beveiliging af te vallen

Microsoft traint zijn verkopers om OpenAI en Anthropic bij klanten af te vallen op kosten en beveiliging, meldt Bloomberg. Copilot en de eigen MAI-modellen worden neergezet als het complete alternatief. Wat betekent dat als je AI via Microsoft afneemt?

1Password lanceert AI-kostenbeheer dat tokenverbruik van Cursor, OpenAI en Anthropic bundelt
Nieuws
5 min

15 jul 02:38

1Password lanceert AI-kostenbeheer dat tokenverbruik van Cursor, OpenAI en Anthropic bundelt

1Password bundelt in zijn SaaS Manager het tokenverbruik van Cursor, Anthropic en OpenAI in één dashboard, met budgetten en alerts per leverancier. De functie staat sinds 14 juli in publieke preview en waarschuwt voordat een budget op is.

Anthropic bevestigt facturatiefout van 16,6 miljoen dollar
Nieuws
5

13 jul 12:12

Anthropic bevestigt facturatiefout van 16,6 miljoen dollar

Anthropic bevestigt dat zijn systeem spookfacturen tot 16,6 miljoen dollar stuurde naar een klant zonder API-gebruik. Een audit vond eerder al 1,7 miljoen aan overfacturering. Waarom Nederlandse bedrijven hun AI-rekening moeten controleren.