Beveiligingsonderzoeker Alexander Hanff schreef een artikel met de titel „Anthropic installeert stiekem spyware wanneer je Claude Desktop installeert“.
Dergelijke beweringen leiden onvermijdelijk tot twee kampen, dus zijn we op zoek gegaan naar een officiële reactie van Anthropic. Maar we hebben er geen kunnen vinden. Het zou me zeer verbazen als ze niet op de hoogte zouden zijn van deze bewering, aangezien er al behoorlijk wat ophef over is geweest.
Gebruikers op Mastodon, Reddit en LinkedIn bevestigen de bevindingen van de onderzoeker en bespreken het onderwerp, dus het is moeilijk voor te stellen dat Anthropic dit over het hoofd heeft gezien.
Laten we eerst eens naar de beweringen kijken.
Tijdens onderzoek naar een andere kwestie ontdekte de onderzoeker op zijn Mac een Native Messaging-hostmanifest Mac hij niet bewust had geïnstalleerd. In Chrome andere op Chromium gebaseerde browsers kunnen extensies berichten uitwisselen met native applicaties als ze een Native Messaging-host registreren die met de extensie kan communiceren.
Door tests uit te voeren op een schone computer ontdekte Hanff dat bij het installeren van Claude Desktop voor macOS een Native Messaging-hostmanifest wordt geplaatst in meerdere Chromium-profielen (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium), zelfs in profielen voor browsers die nog niet daadwerkelijk zijn geïnstalleerd.
Het Native Messaging-hostmanifest geeft een op Chromium gebaseerde browser door welk lokaal uitvoerbaar bestand moet worden aangeroepen wanneer een extensie een native host extensie , en die hosts draaien buiten de sandbox van de browser met de rechten van de huidige gebruiker. Hanff omschrijft dit daarom als een „achterdeur“. Het manifest geeft vooraf toestemming aan drieextensie , zodat elke extensie die ID’s de helper kan aanroepen via connectNative, waardoor het toegang krijgt tot functies voor browserautomatisering.
Een ander bezwaar is dat het simpelweg verwijderen van gegevens zinloos is, aangezien het manifest opnieuw wordt aangemaakt zodra de gebruiker Claude Desktop opnieuw opstart.
Het is belangrijk om hier te vermelden dat zijn artikel gaat over Claude Desktop, de op Electron gebaseerde macOS-app met bundle-identifier com.anthropic.claudefordesktop, gedistribueerd als Claude.app. Het gaat hier niet om Claude Code, de commandoregel-ontwikkelaarstool van Anthropic. Claude Code is autonoom („agentic“): je kunt er een taak aan toewijzen, waarna het de planning en uitvoering voor zijn rekening neemt totdat de taak is voltooid. Voor Claude Code zou het dus volkomen logisch zijn om communicatie met browsers mogelijk te maken, mits deze op het doelsysteem aanwezig zijn.
We hebben dus te maken met een applicatie die bestanden schrijft naar de profiel- en ondersteuningsmappen van andere apps (het configuratiegedeelte van de browsers) en zich kan voordoen als de gebruiker, met mogelijkheden zoals het gebruik van de ingelogde browsersessie, DOM-inspectie, gegevensextractie, het invullen van formulieren en het opnemen van sessies. Dit vergroot het aanvalsoppervlak van elke machine waarop dit manifest wordt geplaatst, zonder dat daarvoor toestemming wordt gevraagd.
In de eigen lanceringsblog van Anthropic over „Claude for Chrome“, waarin de interne red-team-experimenten van Anthropic worden besproken, wordt prompt-injectie expliciet genoemd als een belangrijk risico en worden succespercentages van 23,6% (zonder beveiligingsmaatregelen) en 11,2% (met beveiligingsmaatregelen) vermeld. Hanff haalt dit aan om aan te tonen dat een vooraf geplaatste bridge een niet te verwaarlozen risico vormt.
Hoe erg is het?
Native Messaging is een standaardmechanisme van Chromium. Er is hier op zich niets onbekends of exotisch aan. In de documentatie Chromewordt uitgelegd dat Native Messaging-hosts met gebruikersrechten draaien en door browserextensies worden aangeroepen via een manifestbestand. En zoals de onderzoeker opmerkte, doet de bridge niets. Maar er bestaat wel een risico op misbruik.
Ik vind het niet eerlijk om te zeggen dat Claude Desktop spyware installeert, maar het maakt het systeem wel kwetsbaarder door het aanvalsoppervlak te vergroten.
Anthropic beschikte al over een apart, gedocumenteerd Native Messaging-manifest voor Claude Code dat gebruikers soms handmatig naar andere Chromium-browsers kopieerden; het nieuwe gedrag houdt in dat Claude Desktop nu automatisch een manifest met betrekking tot Claude Desktop in meerdere browserpaden plaatst.
Hiervoor is een combinatie van extensie een host nodig. Alleen in combinatie met een bijpassende extensie biedt deze bridge de gebruikersfuncties die we eerder hebben genoemd.
Wat we nog niet weten
Anthropic heeft geen gedetailleerde technische specificaties over de privacy van de Claude Desktop–browser-koppeling gepubliceerd, dus weten we niet precies welke gegevens worden uitgewisseld wanneer de Chrome wordt gebruikt, afgezien van de algemene mogelijkheden die in hun documentatie worden beschreven (toegang tot de sessie, het uitlezen van de DOM, enz.).
De gedetailleerde analyse en de meeste replicaties tot nu toe hebben betrekking op macOS. We hebben geen duidelijk beeld van het gedrag op Windows Linux, en hetzelfde geldt voor verschillende installatiepaden van browsers. Dat gedrag is ook niet uitgebreid gedocumenteerd in openbaar beschikbare rapporten.
Ik heb contact opgenomen met Anthropic met het verzoek om een reactie. Zodra we een officieel antwoord van Anthropic ontvangen, zal ik dat hier plaatsen, dus houd deze pagina in de gaten.
Conclusie
Anthropic wilde waarschijnlijk functies Chrome„Claude in Chrome“ beschikbaar maken in alle op Chromium gebaseerde browsers, maar dat is geen excuus om dit stilletjes te doen en het manifest vooraf te installeren in de profielmappen van meerdere browsers, waaronder browsers die nog niet eens zijn geïnstalleerd.
Er zijn betere manieren om dit soort veranderingen door te voeren, en gebruikers zouden hier op zijn minst van op de hoogte moeten worden gesteld, zodat ze de voordelen tegen de mogelijke risico’s kunnen afwegen.
Voorkom bedreigingen voordat ze schade kunnen aanrichten.
Malwarebytes Browser Guard automatisch phishingpagina’s en schadelijke websites. Gratis en met één klik te installeren. Voeg het toe aan je browser →
