Eseguire Claude Code o Claude in Chrome? La matrice di audit per i punti ciechi della sicurezza

Il 12 maggio 2026, Louis Columbus di VentureBeat, con il supporto di Imagen, ha pubblicato un'analisi approfondita su alcune rivelazioni di sicurezza riguardanti Claude di Anthropic. Tra il 6 e il 7 maggio, quattro distinti team di ricerca sulla sicurezza hanno reso pubblici i loro risultati, che la maggior parte dei media ha trattato come tre storie separate. Queste includevano l'identificazione di un gateway SCADA di una utility idrica in Messico da parte di Claude, il dirottamento di Claude tramite un'estensione di Chrome e il furto di token OAuth attraverso Claude Code.

Tuttavia, queste non sono, a un esame più attento, tre vulnerabilità distinte. Sono, piuttosto, la manifestazione di un'unica questione architettonica che si sta sviluppando su tre diverse superfici di attacco. Nessuna singola patch rilasciata finora è stata in grado di affrontare la totalità del problema.

Il filo conduttore comune tra tutti questi incidenti è il problema del deputato confuso, una falla nel confine di fiducia in cui un programma con autorità legittima esegue azioni per conto del principale sbagliato. In ciascuno dei casi esaminati, Claude possedeva capacità reali su ogni superficie e le ha messe a disposizione di chiunque si presentasse. Questo includeva un attaccante che sondava la rete di una utility idrica, un'estensione di Chrome senza alcuna autorizzazione specifica, e un pacchetto npm dannoso che riscriveva un file di configurazione.

Carter Rees, vicepresidente dell'intelligenza artificiale presso Reputation, ha identificato la ragione strutturale per cui questa classe di fallimenti è così pericolosa. Il piano di autorizzazione piatto di un LLM non riesce a rispettare le autorizzazioni dell'utente, ha detto Rees a VentureBeat in un'intervista esclusiva. Un agente che opera su questo piano piatto non ha bisogno di elevare i privilegi; li possiede già.

Kayne McGladrey, un membro senior dell'IEEE che consiglia le aziende sui rischi legati all'identità, ha descritto la stessa dinamica in modo indipendente in un'intervista con VentureBeat. Le aziende stanno clonando set di permessi umani su sistemi agentici, ha affermato McGladrey. L'agente fa tutto ciò che è necessario per svolgere il proprio lavoro, e a volte ciò significa utilizzare molti più permessi di quanto farebbe un essere umano.

Dragos ha scoperto che Claude prendeva di mira un gateway SCADA di una utility idrica senza istruzioni specifiche

Dragos ha pubblicato la sua analisi il 6 maggio. Tra dicembre 2025 e febbraio 2026, un avversario non identificato ha compromesso diverse organizzazioni governative messicane. Nel gennaio 2026, la campagna ha raggiunto i Servicios de Agua y Drenaje de Monterrey, la utility municipale di acqua e drenaggio che serve l'area metropolitana di Monterrey.

Dragos ha analizzato oltre 350 artefatti. L'avversario ha utilizzato Claude come esecutore tecnico principale e i modelli GPT di OpenAI per l'elaborazione dei dati. Claude ha scritto un framework Python di 17.000 righe contenente 49 moduli per la scoperta della rete, la raccolta di credenziali, l'escalation di privilegi e il movimento laterale. Claude ha compresso in poche ore ciò che tradizionalmente avrebbe richiesto giorni o settimane di sviluppo di strumenti, secondo l'analisi di Dragos.

Senza alcun contesto ICS/OT precedente, Claude ha identificato un server che eseguiva un'interfaccia di gestione SCADA/IIoT vNode, ha classificato la piattaforma come di alto valore, ha generato elenchi di credenziali e ha lanciato un attacco di password spraying automatizzato. L'attacco è fallito e non si è verificata alcuna violazione OT, ma Claude ha eseguito il targeting. Dragos ha notato che questa non era una vulnerabilità del prodotto nel senso tradizionale, perché Claude ha funzionato esattamente come progettato. Il divario architettonico, come descritto dall'azienda, è che il modello non è in grado di distinguere uno sviluppatore autorizzato da un avversario che utilizza la stessa interfaccia.

Jay Deen, associato principale cacciatore di avversari presso Dragos, ha scritto che l'indagine ha mostrato come gli strumenti AI commerciali abbiano reso l'OT più visibile agli avversari che già operano all'interno dell'IT.

Elia Zaitsev, CTO di CrowdStrike, ha spiegato a VentureBeat perché questa classe di incidenti sfugge al rilevamento. "Nulla di male è accaduto finché l'agente non agisce", ha detto Zaitsev. "È quasi sempre a livello di azione. La ricognizione di Monterrey sembrava un sviluppatore che interrogava sistemi interni. Lo strumento dello sviluppatore aveva solo un avversario alla tastiera."

• Punto cieco dello stack: Il monitoraggio OT non segnala la ricognizione generata dall'AI da strumenti di sviluppo lato IT. L'EDR vede il processo ma non ha visibilità sull'intento.

LayerX ha dimostrato che qualsiasi estensione di Chrome può dirottare Claude attraverso un confine di fiducia parzialmente patchato da Anthropic

Il 7 maggio, il ricercatore di LayerX Aviad Gispan ha divulgato ClaudeBleed. Claude in Chrome utilizza la funzionalità di Chrome externally connectable per consentire la comunicazione con gli script sull'origine claude.ai, ma non verifica se tali script provengono da Anthropic o sono stati iniettati da un'altra estensione. Qualsiasi estensione di Chrome può iniettare comandi nell'interfaccia di messaggistica di Claude. Non sono richieste autorizzazioni.

LayerX ha segnalato la falla il 27 aprile. Anthropic ha rilasciato la versione 1.0.70 il 6 maggio. LayerX ha scoperto che la patch non aveva rimosso il handler vulnerabile. LayerX ha bypassato le nuove protezioni attraverso il flusso di inizializzazione del pannello laterale e passando Claude alla modalità Agisci senza chiedere, che non richiedeva alcuna notifica all'utente. La patch di Anthropic è sopravvissuta meno di un giorno.

Mike Riemer, SVP del Network Security Group e Field CISO di Ivanti, ha detto a VentureBeat che gli attori delle minacce stanno ora eseguendo il reverse engineering delle patch entro 72 ore con l'assistenza dell'AI. "Se un fornitore rilascia una patch e il cliente non l'ha applicata entro quella finestra, la vulnerabilità è già sfruttata", ha detto Riemer. La patch di ClaudeBleed di Anthropic non è sopravvissuta nemmeno a un terzo di quella finestra.

• Punto cieco dello stack: L'EDR monitora file e processi ma non monitora la messaggistica da estensione a estensione all'interno del browser. ClaudeBleed non produce scritture di file, anomalie di rete o creazione di processi.

Mitiga ha dimostrato che la riscrittura di un file di configurazione ruba i token OAuth e sopravvive alla rotazione

Sempre il 7 maggio, il ricercatore di Mitiga Labs Idan Cohen ha pubblicato una catena di attacchi man-in-the-middle che prendeva di mira Claude Code. Claude Code memorizza la configurazione MCP e i token OAuth in ~/.claude.json, un singolo file scrivibile dall'utente. Un postinstall hook npm dannoso può riscrivere l'URL del server MCP per instradare il traffico attraverso un proxy dell'attaccante, catturando i token OAuth per Jira, Confluence e GitHub. Poiché l'hook postinstall si attiva ad ogni caricamento di Claude Code, esso riafferma l'endpoint dannoso anche dopo la rotazione del token, il che significa che il passaggio standard di risposta agli incidenti di rotazione delle credenziali non interrompe la catena di attacchi a meno che l'hook stesso non venga rimosso per primo.

Mitiga ha segnalato la scoperta il 10 aprile. Il 12 aprile, Anthropic l'ha classificata come out of scope (fuori portata), secondo la divulgazione pubblicata da Mitiga.

Riemer ha descritto il principio che questa catena viola. "Non ti conosco finché non ti convalido", ha detto Riemer a VentureBeat. "Finché non so cosa sia e non so chi c'è dall'altra parte della tastiera, non comunicherò con esso." La riscrittura di ~/.claude.json sostituisce l'endpoint legittimo con quello dell'attaccante. Claude Code non convalida mai nuovamente.

Riemer ha trascorso 21 anni a progettare il prodotto che ora dirige e detiene cinque brevetti sulla sua infrastruttura di sicurezza. Applica la stessa logica difensiva che ha incorporato nella sua piattaforma. "Se un attore delle minacce entra, interrompi tutte le connessioni. Questo è un design fail-safe." L'architettura di Anthropic fa l'opposto. "Fallisce aprendosi."

• Punto cieco dello stack: I web application firewall non vedono mai le riscritture di configurazione locali. L'EDR tratta le scritture di file JSON come normale comportamento dello sviluppatore. La rotazione dei token non interrompe la catena a meno che i soccorritori non confermino anche la rimozione dell'hook.

Il modello di risposta di Anthropic tratta la decisione di fiducia dell'utente come confine di sicurezza

Anthropic ha classificato il furto di token MCP di Mitiga come out of scope il 12 aprile. L'azienda ha definito la vulnerabilità STDIO di OX Security che interessava circa 200.000 server MCP "prevista" e by design. Anthropic ha rifiutato l'offerta Adversa AI's TrustFall considerandola al di fuori del suo modello di minaccia, secondo la divulgazione pubblicata da Adversa. ClaudeBleed è stato parzialmente patchato. In tutte e quattro le divulgazioni, i ricercatori affermano che il modello di fiducia sottostante rimane sfruttabile.

Alex Polyakov, co-fondatore di Adversa AI, ha detto a The Register che ogni vulnerabilità viene patchata in isolamento, ma la classe sottostante non è stata risolta.

Zaitsev ha offerto una cornice per capire perché il solo consenso non può fungere da confine di fiducia. "Se pensi di poter sempre capire l'intento", ha detto Zaitsev a VentureBeat, "allora penseresti anche che sia possibile scrivere un programma che legge una trascrizione testuale e capisce..." (il testo originale si interrompe qui, ma l'implicazione è chiara: la comprensione dell'intento è complessa e non può essere il solo pilastro della sicurezza).