セキュリティ研究者のアレクサンダー・ハンフ氏は、「Claude Desktopをインストールすると、Anthropicが密かにスパイウェアをインストールする」というタイトルの記事を執筆した。
そのような主張は必然的に賛否両論を呼ぶことになるため、私たちはAnthropicによる公式な反論を探してみた。しかし、見つけることはできなかった。この件についてはすでに話題になっているため、彼らがこの主張を認識していないとは到底考えられない。
Mastodon、Reddit、および LinkedIn のユーザーたちがこの研究者の発見を裏付け、この件について議論しているため、Anthropicが見逃していたとは考えにくい。
まずは主張を見てみましょう。
ある別の件を調査していた際、ある研究者はMac 自分が意図してインストールした覚えのないMac ネイティブメッセージングホストMac マニフェストMac 発見した。Chrome ブラウザでは、拡張機能が、その拡張機能と通信可能なネイティブメッセージングホストを登録することで、ネイティブアプリケーションとメッセージをやり取りすることができる。
Hanff氏は、クリーンなマシンでテストを行った結果、macOS版Claude Desktopをインストールすると、Native Messagingのホストマニフェストが複数のChromiumプロファイル(Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium)に配置されることを発見しました。これは、実際にはまだインストールされていないブラウザについても同様でした。
Native Messagingのホストマニフェストは、拡張機能がネイティブホストを呼び出した際に、Chromiumベースのブラウザがどのローカル実行ファイルを起動すべきかを指定するものであり、これらのホストはブラウザのサンドボックス外で、現在のユーザーの権限を持って実行される。そのため、Hanff氏はこれを「バックドア」と表現している。Chrome 承認されているため、これらのIDを持つ拡張機能であれば、以下の方法でヘルパーを呼び出すことができる。 connectNativeこれにより、ブラウザの自動化機能を利用できるようになります。
もう一つの反論として、ユーザーが次にClaude Desktopを起動した際にマニフェストが再作成されてしまうため、単純な削除では意味がないという点が挙げられます。
ここで重要なのは、彼の記事が、バンドル識別子を持つElectronベースのmacOSアプリケーション「Claude Desktop」について書かれたものであるという点です com.anthropic.claudefordesktop、Claude.appとして配布されています。これは、Anthropic社のコマンドライン開発ツールであるClaude Codeのことではありません。Claude Codeは自律的(「エージェント型」)であり、タスクを委ねると、完了するまで計画と実行をすべて処理してくれます。したがって、Claude Codeの場合、ターゲットシステム上にブラウザが存在する限り、ブラウザとの通信を可能にするのは極めて理にかなっています。
つまり、このアプリケーションは他のアプリのプロファイル/サポートディレクトリ(ブラウザの設定領域)に書き込みを行い、ユーザーとして動作することが可能です。具体的には、ログイン済みのブラウザセッションの利用、DOMの検査、データの抽出、フォームへの自動入力、セッションの記録といった機能を持っています。これにより、同意を求めることなく、このマニフェストが配置されたすべてのマシンの攻撃対象領域が拡大してしまいます。
Anthropicが「Claude forChrome」のリリースに際して公開したブログ記事では、同社の内部レッドチーム実験について論じられており、プロンプトインジェクションが主要なリスクとして明示的に言及されているほか、攻撃の成功率が23.6%(対策なし)および11.2%(対策あり)であったと報告されている。Hanff氏はこれを引用し、あらかじめ配置されたブリッジが軽視できないリスクであると主張している。
どれくらいひどい状況なの?
ネイティブ・メッセージングは、Chromiumの標準的な仕組みです。ここにある内容は、それ自体、未知の技術や特殊な手法というわけではありません。ChromeドキュChromeにも説明されている通り、ネイティブ・メッセージングのホストはユーザー権限で実行され、ブラウザ拡張機能によってマニフェストファイルを介して呼び出されます。また、研究者が指摘したように、このブリッジ自体は何も行いません。しかし、悪用される可能性はあります。
Claude Desktopがスパイウェアをインストールすると言うのは公平ではないと思いますが、攻撃対象領域を拡大することでシステムの脆弱性を高めてしまうことは確かです。
Anthropicは以前から、Claude Code用に別途文書化されたNative Messagingマニフェストを用意しており、ユーザーはこれを他のChromiumベースのブラウザに手動でコピーすることがありました。今回の変更により、Claude Desktopは、Claude-Desktop関連のマニフェストを複数のブラウザのパスに自動的に配置するようになりました。
これには拡張機能とホストの組み合わせが必要です。対応するブラウザ拡張機能と組み合わせることで初めて、このブリッジは前述したようなユーザー向けの機能を実現します。
まだわかっていないこと
Anthropicは、Claude Desktopとブラウザ間のブリッジに関する詳細な技術的プライバシー仕様を公開していないため、同社のドキュメントに記載されている一般的な機能(セッションへのアクセス、DOMの読み取りなど)以外については、Chrome を使用する際にどのようなデータがやり取りされるのか、正確には分かっていない。
これまでの詳細な分析や再現事例のほとんどはmacOSを対象としたものです。Windows での挙動については不明な点が多く、ブラウザのインストールパスが異なる場合についても同様です。また、その挙動については、公開されている記事やレポートなどで包括的に記録されているわけではありません。
Anthropicにコメントを求めて連絡を取りました。Anthropicから公式な回答が得られたら、こちらに追加しますので、引き続きご注目ください。
結論
Anthropic社は、Chromiumベースのブラウザ全体で「Claude in Chrome」Chrome機能を実現したかったのだろうが、だからといって、事前の告知なしに、まだインストールされていないブラウザも含む複数のブラウザのプロファイルディレクトリにマニフェストをプリインストールすることを正当化できるわけではない。
このような変更を実施するには、もっと良い方法があります。ユーザーには少なくともそのことを知らせて、メリットと潜在的なリスクを比較検討できるようにすべきです。
被害が及ぶ前に脅威を阻止しましょう。
Malwarebytes Browser Guard 、フィッシングページや悪意のあるサイトを自動的にBrowser Guard 。無料で、ワンクリックでインストールできます。ブラウザに追加する →
