Il ricercatore di sicurezza Alexander Hanff ha scritto un articolo intitolato «Anthropic installa segretamente uno spyware quando si installa Claude Desktop».
Affermazioni del genere non possono che creare due fronti opposti, quindi abbiamo cercato una smentita ufficiale da parte di Anthropic. Ma non siamo riusciti a trovarne una. Mi sorprenderebbe molto se non fossero a conoscenza di questa affermazione, dato che se ne è parlato parecchio.
Gli utenti su Mastodon, Reddit e LinkedIn stanno confermando le scoperte del ricercatore e discutendo l'argomento, quindi è difficile immaginare che Anthropic se lo sia lasciato sfuggire.
Esaminiamo innanzitutto le affermazioni.
Mentre stava esaminando un'altra questione, il ricercatore ha scoperto sul proprio Mac un host di messaggistica nativa Mac non aveva installato consapevolmente. Su Chrome su altri browser basati su Chromium, le estensioni possono scambiare messaggi con le applicazioni native se registrano un host di messaggistica nativa in grado di comunicare con l'estensione.
Effettuando dei test su un computer pulito, Hanff ha scoperto che l'installazione di Claude Desktop per macOS inserisce un manifesto host di Native Messaging in diversi profili Chromium (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium), anche per browser che non sono ancora stati effettivamente installati.
Il manifesto dell'host Native Messaging indica a un browser basato su Chromium quale eseguibile locale richiamare quando un'estensione chiama un host nativo; tali host vengono eseguiti al di fuori della sandbox del browser con le autorizzazioni dell'utente corrente. Hanff descrive quindi questa funzione come una «backdoor». Il manifesto pre-autorizza tre ID Chrome , quindi qualsiasi estensione con tali ID può richiamare l'helper tramite connectNative, consentendogli di accedere alle funzionalità di automazione del browser.
Un'altra obiezione è che Claude rende inutile la semplice cancellazione, poiché il manifesto verrà ricreato al prossimo avvio di Claude Desktop da parte dell'utente.
È importante sottolineare che il suo articolo riguarda Claude Desktop, l'applicazione per macOS basata su Electron con l'identificatore di bundle com.anthropic.claudefordesktop, distribuito come Claude.app. Non si tratta di Claude Code, lo strumento di sviluppo a riga di comando di Anthropic. Claude Code è autonomo (“agente”), il che consente di affidargli un compito, e si occupa della pianificazione e dell’esecuzione fino al completamento. Pertanto, per Claude Code, avrebbe perfettamente senso abilitare la comunicazione con i browser, a condizione che questi siano presenti sul sistema di destinazione.
Abbiamo quindi un'applicazione che scrive nelle directory "profile" e "support" di altre app (l'area di configurazione dei browser) ed è in grado di agire come l'utente, con funzionalità quali l'utilizzo della sessione del browser a cui si è effettuato l'accesso, l'ispezione del DOM, l'estrazione di dati, la compilazione automatica dei moduli e la registrazione della sessione. Ciò amplia la superficie di attacco di ogni macchina su cui viene installato questo manifesto, senza richiedere il consenso.
Il blog di Anthropic dedicato al lancio Chrome «Claude for Chrome, che descrive gli esperimenti interni di red team condotti dall’azienda, menziona esplicitamente l’iniezione di prompt come un rischio fondamentale e riporta tassi di successo degli attacchi pari al 23,6% (senza misure di mitigazione) e all’11,2% (con misure di mitigazione). Hanff cita questi dati per sostenere che un bridge preposizionato rappresenta un rischio non trascurabile.
Quanto è grave la situazione?
Il Native Messaging è un meccanismo standard di Chromium. Di per sé, non si tratta di una tecnica sconosciuta o insolita. La stessa documentazione Chromespiega che i processi del Native Messaging vengono eseguiti con i privilegi dell'utente e vengono richiamati dalle estensioni del browser tramite un file manifest. E, come ha sottolineato il ricercatore, il bridge non fa nulla. Tuttavia, potrebbe potenzialmente essere oggetto di abuso.
Non credo sia corretto affermare che Claude Desktop installi spyware, ma è vero che rende il sistema più vulnerabile ampliando la superficie di attacco.
Anthropic disponeva già di un manifesto Native Messaging separato e documentato per Claude Code, che gli utenti a volte copiavano manualmente in altri browser basati su Chromium; ora, invece, Claude Desktop inserisce automaticamente un manifesto relativo a Claude-Desktop in diversi percorsi dei browser.
Richiede una combinazione di estensione e host. Solo se abbinato a un'estensione del browser compatibile, questo bridge consente di usufruire delle funzionalità per l'utente che abbiamo elencato in precedenza.
Quello che ancora non sappiamo
Anthropic non ha pubblicato specifiche tecniche dettagliate sulla privacy relative al bridge tra Claude Desktop e il browser, pertanto non sappiamo esattamente quali dati vengano trasmessi quando si utilizza Chrome , al di là delle funzionalità generali descritte nella loro documentazione (accesso alla sessione, lettura del DOM, ecc.).
L'analisi dettagliata e la maggior parte delle verifiche effettuate finora riguardano macOS. Non disponiamo di informazioni sul comportamento su Windows Linux, e lo stesso vale per i diversi percorsi di installazione dei browser. Inoltre, tale comportamento non è stato documentato in modo esaustivo in articoli pubblici.
Ho contattato Anthropic per chiedere un commento. Se e quando riceveremo una risposta ufficiale da Anthropic, la aggiungerò qui, quindi restate sintonizzati.
Conclusione
Probabilmente Anthropic voleva implementare funzionalità Chrome«Claude in Chromesu tutti i browser basati su Chromium, ma questo non giustifica il fatto di averlo fatto senza avvisare gli utenti e di aver preinstallato il manifesto nelle directory dei profili di diversi browser, compresi quelli che non erano ancora stati installati.
Esistono modi migliori per attuare cambiamenti di questo tipo, e gli utenti dovrebbero almeno esserne informati in modo da poter valutare i vantaggi rispetto ai potenziali rischi.
Blocca le minacce prima che possano causare danni.
Malwarebytes Browser Guard automaticamente le pagine di phishing e i siti dannosi. È gratuito e si installa con un solo clic. Aggiungilo al tuo browser →
