El investigador de seguridad Alexander Hanff escribió un artículo titulado «Anthropic instala software espía de forma encubierta al instalar Claude Desktop».
Afirmaciones como esa no pueden sino generar dos bandos, así que buscamos una refutación oficial por parte de Anthropic. Pero no encontramos ninguna. Me sorprendería mucho que no estuvieran al tanto de esa afirmación, ya que se ha hablado bastante del tema.
Los usuarios de Mastodon, Reddit y LinkedIn están confirmando los hallazgos del investigador y debatiendo el tema, por lo que cuesta imaginar que Anthropic no se haya dado cuenta.
Veamos primero las afirmaciones.
Mientras investigaba otro asunto, el investigador descubrió en su Mac un manifiesto de host de Native Messaging Mac no había instalado a sabiendas. En Chrome otros navegadores basados en Chromium, las extensiones pueden intercambiar mensajes con aplicaciones nativas si registran un host de Native Messaging capaz de comunicarse con la extensión.
Al realizar pruebas en un equipo sin instalar nada, Hanff descubrió que al instalar Claude Desktop para macOS se crea un manifiesto de host de Native Messaging en varios perfiles de Chromium (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium), incluso en los navegadores que aún no están instalados.
El manifiesto de Native Messaging indica a un navegador basado en Chromium qué ejecutable local debe invocar cuando una extensión llama a un host nativo, y dichos hosts se ejecutan fuera del entorno aislado del navegador con los permisos del usuario actual. Por ello, Hanff describe esto como una «puerta trasera». El manifiesto preautoriza tres ID Chrome , por lo que cualquier extensión con esos ID puede llamar al programa auxiliar a través de connectNative, lo que le permite acceder a las funciones de automatización del navegador.
Otra objeción es que Claude hace que la simple eliminación resulte inútil, ya que el manifiesto se volverá a crear la próxima vez que el usuario inicie Claude Desktop.
Es importante señalar aquí que su artículo trata sobre Claude Desktop, la aplicación para macOS basada en Electron con el identificador de paquete com.anthropic.claudefordesktop, distribuida como Claude.app. No se trata de Claude Code, la herramienta de desarrollo de línea de comandos de Anthropic. Claude Code es autónomo («agente»), lo que permite asignarle una tarea y él se encarga de la planificación y la ejecución hasta completarla. Por lo tanto, en el caso de Claude Code, tendría todo el sentido del mundo habilitar la comunicación con los navegadores, siempre que estén presentes en el sistema de destino.
Así pues, tenemos una aplicación que escribe en los directorios «profile» y «support» de otras aplicaciones (el área de configuración de los navegadores) y puede actuar en nombre del usuario, con capacidades como el uso de la sesión del navegador en la que se ha iniciado sesión, la inspección del DOM, la extracción de datos, el rellenado de formularios y la grabación de sesiones. Esto amplía la superficie de ataque de cada equipo en el que se instala este manifiesto, sin solicitar consentimiento.
En la propia entrada del blog de Anthropic sobre el lanzamiento Chrome «Claude for Chrome, en la que se analizan los experimentos internos de simulación de ataques de Anthropic, se menciona explícitamente la inyección de comandos como un riesgo clave y se indican unas tasas de éxito de los ataques del 23,6 % (sin medidas de mitigación) y del 11,2 % (con medidas de mitigación). Hanff cita este dato para argumentar que un puente preposicionado supone un riesgo nada desdeñable.
¿Tan grave es?
Native Messaging es un mecanismo estándar de Chromium. En sí mismo, no se trata de ninguna técnica desconocida o exótica. La propia documentación Chromeexplica que los procesos de Native Messaging se ejecutan con privilegios de usuario y son invocados por las extensiones del navegador a través de un archivo de manifiesto. Y, tal y como señaló el investigador, el puente no hace nada. Pero podría ser objeto de un posible uso indebido.
No creo que sea justo decir que Claude Desktop instala spyware, pero sí que deja el sistema más expuesto al ampliar la superficie de ataque.
Anthropic ya contaba con un manifiesto de Native Messaging independiente y documentado para Claude Code que los usuarios a veces copiaban manualmente en otros navegadores basados en Chromium; la novedad es que Claude Desktop ahora coloca automáticamente un manifiesto relacionado con Claude-Desktop en varias rutas del navegador.
Requiere una combinación de extensión y servidor. Solo cuando se combina con la extensión de navegador correspondiente, este puente permite las funciones para el usuario que hemos mencionado anteriormente.
Lo que aún no sabemos
Anthropic no ha publicado unas especificaciones técnicas detalladas sobre la privacidad del puente entre Claude Desktop y el navegador, por lo que no sabemos exactamente qué datos se transmiten cuando se utiliza la Chrome , más allá de las capacidades generales descritas en su documentación (acceso a la sesión, lectura del DOM, etc.).
El análisis detallado y la mayoría de las reproducciones realizadas hasta ahora se han llevado a cabo en macOS. Desconocemos cómo se comporta en Windows Linux, y lo mismo ocurre con las diferentes rutas de instalación de los navegadores. Además, ese comportamiento no se ha documentado de forma exhaustiva en publicaciones de dominio público.
Me puse en contacto con Anthropic para pedirles una respuesta. Si recibimos una respuesta oficial de Anthropic, la añadiré aquí, así que estad atentos.
Conclusión
Es probable que Anthropic quisiera ofrecer funciones Chrome«Claude in Chrome Chromeen todos los navegadores basados en Chromium, pero eso no justifica hacerlo sin avisar y preinstalar el manifiesto en los directorios de perfil de varios navegadores, incluidos aquellos que aún no están instalados.
Hay formas mejores de aplicar cambios como estos, y al menos se debería informar a los usuarios al respecto para que puedan sopesar las ventajas frente a los posibles riesgos.
Detén las amenazas antes de que puedan causar ningún daño.
Malwarebytes Browser Guard automáticamente las páginas de phishing y los sitios maliciosos. Es gratis y se instala con un solo clic. Añádelo a tu navegador →
