Une faille découverte dans l'extension Chrome de Claude permettait à n'importe quel site web d'injecter silencieusement des prompts dans votre assistant IA. Pas besoin de cliquer, pas besoin de permission... non, fallait juste visiter une page web et c'était réglé. Le chercheur Oren Yomtov de Koi Security à l’origine de cette découverte, a baptisé ça "ShadowPrompt" et vous allez voir, c'est dingue.

En fait, cette attaque enchaînait deux failles. La première, c'est que l'extension acceptait les messages de n'importe quel sous-domaine en *.claude.ai, car Anthropic avait mis en place un allowlist trop permissif. Sauf qu'Arkose Labs, le fournisseur de CAPTCHA, hébergeait un composant sur a-cdn.claude.ai et malheureusement, ce composant contenait une jolie faille XSS bien classique. Celui-ci acceptait les postMessage sans vérifier l'origine, et le texte reçu était ainsi injectable via un dangerouslySetInnerHTML . Donc y'a bien ZERO validation côté client. Ouééééé !

Un attaquant n'avait qu'à embarquer ce composant CAPTCHA vulnérable dans une iframe cachée sur son site, envoyer un payload via postMessage, et hop, le script injecté pouvait balancer un prompt directement à l'extension. Elle le recevait depuis un domaine *.claude.ai, donc elle l'acceptait les yeux fermés et l'affichait alors dans la sidebar comme une requête légitime de l'utilisateur. La victime ne voyait strictement rien.

Et les dégâts potentiels ne sont clairement pas anecdotiques ! Avec cette technique, un attaquant pouvait voler vos tokens d'accès Gmail, exfiltrer des documents Google Drive, lire tout l'historique de vos conversations avec Claude, et même envoyer des mails en votre nom. Perso, ça fait beaucoup pour un simple onglet ouvert dans Chrome, quoi.

J’ai encore découvert un truc génial aujourd’hui ! J’ai trop de chance ! C’est une extension Chrome qui s’appelle PageMagic et en gros, c’est comme si vous aviez un développeur expert en CSS dans votre poche qui comprend exactement ce que vous voulez changer sur n’importe quel site web.

L’idée est pas con vous allez voir… Vous installez l’extension, vous allez sur un site qui vous fait mal aux yeux ou dont l’ergonomie vous gonfle, et hop ! Vous décrivez en langage naturel ce que vous voulez modifier. Genre “réduis la taille de la police, cache la sidebar, change la couleur de fond”. Et l’extension s’occupe de tout grâce à l’IA Claude d’Anthropic.

Vous êtes un producteur de musique, un créateur de contenu ou tout simplement un passionné d’audio qui aime sampler des sons depuis le web ?

Et bien, je viens de découvrir SampleWizard, une extension Chrome géniale qui va bousculer votre façon d’enregistrer et de télécharger des samples audio. Fini les galères avec les sites de téléchargement douteux, ça vous permet de capturer n’importe quel son sur le web en un seul clic directement depuis votre navigateur. C’est magique !

Bref, vous surfez tranquillement sur YouTube, Soundcloud ou n’importe quel site web, et soudain vous tombez sur un extrait audio qui vous fait kiffer. Avec cette extension, pas besoin de chercher un moyen de le télécharger, il vous suffit de cliquer sur le bouton d’enregistrement de l’extension et hop, le tour est joué ! Le sample est ainsi automatiquement enregistré et téléchargé sur votre ordinateur au format WAV. C’est simple comme bonjour.

L’interface de SampleWizard est simple, vous n’avez qu’un bouton à cliquer pour enregistrer et un autre pour accéder à vos samples téléchargés. Je crois que c’est ce qu’utilise la grand mère de Steve Aoki quand elle repère un sample qu’elle veut lui envoyer.

En plus de ça, c’est est entièrement gratuit en version de base. Que demande le peuple ?

Rendez-vous sur le Chrome Web Store pour en profiter. Quand à moi, je retourne chasser du sample sauvage moi.

Si vous en avez assez de tomber constamment sur du contenu qui ne vous plait pas lors de vos séances de surf, sachez que vous allez pouvoir filtrer facilement les éléments indésirables grâce à cette extension Chrome.

Il s’agit de Hide What You Dislike qui permet de masquer en un clin d’œil tout ce qui vous tape sur les nerfs quand vous naviguez. Lien, image, texte, rien ne lui résiste ! Vous repérez un truc qui vous gonfle ? Hop, un clic droit et l’option magique « Hide entries with this link » apparaît pour le virer à tout jamais. Pratique, non ?

« Mais si je me plante et que je masque un truc que je voulais garder ?« .

Pas de panique, les développeurs ont pensé à tout ! Direction les options de l’extension où vous retrouverez la liste de tous les éléments cachés. Suffit de cliquer sur la petite croix rouge et hop, le contenu banni réapparaît comme par magie. Bef, vous gardez le contrôle !

Côté performances, elle est optimisée pour gérer des centaines de filtres sans ralentir votre navigation. Concrêtement, vous pouvez atteindre exactement le même résultat avec n’importe quel bloqueur de pub, mais avec cette extension, c’est beaucoup plus simple à faire.

Prenons l’exemple de YouTube. Son option native de blocage de chaîne ne fonctionne que sur les vidéos suggérées et pas sur les résultats de recherche. Et impossible de bloquer par mots-clés. Alors si voulez masquer toutes les vidéos qui mentionnent « Hanouna » dans le titre, avec YouTube, c’est mort mais avec Hide What You Dislike, c’est fastoche !

Voilà, c’est gratuit, c’est personnalisable à l’infini et c’est dispo ici. Que demander de plus ?

Ah si, j’oubliais un détail qui a son importance… cette extension ne vous tracke pas ! Pas de pistage, pas d’analytics, tout est local par défaut. Et si vous vous connectez via Google pour sauvegarder vos filtres dans le cloud, seul le nom de domaine et le filtre sont transmis. Votre vie privée reste privée, comme il se doit.