Badacz ds. bezpieczeństwa Alexander Hanff napisał artykuł zatytułowany „Anthropic potajemnie instaluje oprogramowanie szpiegowskie podczas instalacji aplikacji Claude Desktop”.
Takie twierdzenia z pewnością wywołują sprzeczne opinie, więc szukaliśmy oficjalnego stanowiska firmy Anthropic w tej sprawie. Nie udało nam się jednak nic znaleźć. Bardzo bym się zdziwił, gdyby nie wiedzieli o tym twierdzeniu, bo było o nim sporo szumu.
Użytkownicy serwisów Mastodon, Reddit i LinkedIn potwierdzają ustalenia badacza i dyskutują na ten temat, więc trudno sobie wyobrazić, żeby firma Anthropic to przeoczyła.
Przyjrzyjmy się najpierw tym twierdzeniom.
Podczas badania innej sprawy badacz odkrył na swoim Mac manifest hosta Native Messaging Mac świadomie nie zainstalował. W Chrome innych przeglądarkach opartych na silniku Chromium rozszerzenia mogą wymieniać wiadomości z aplikacjami natywnymi, jeśli zarejestrują host Native Messaging, który może komunikować się z rozszerzeniem.
Przeprowadzając testy na nowo zainstalowanym komputerze, Hanff odkrył, że instalacja aplikacji Claude Desktop dla systemu macOS powoduje umieszczenie pliku manifestu hosta Native Messaging w wielu profilach opartych na silniku Chromium (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium), nawet w przypadku przeglądarek, które nie zostały jeszcze zainstalowane.
Manifest hosta Native Messaging informuje przeglądarkę opartą na silniku Chromium, który lokalny plik wykonywalny należy uruchomić, gdy rozszerzenie wywołuje hosta natywnego, a hosty te działają poza piaskownicą przeglądarki z uprawnieniami bieżącego użytkownika. Hanff określa to zatem mianem „tylnych drzwi”. Manifest wstępnie autoryzuje trzy identyfikatory Chrome , więc każde rozszerzenie posiadające te identyfikatory może wywołać program pomocniczy za pośrednictwem connectNative, zapewniając mu dostęp do funkcji automatyzacji przeglądarki.
Kolejny zarzut dotyczy tego, że Claude sprawia, iż zwykłe usunięcie pliku jest bezcelowe, ponieważ manifest zostanie odtworzony przy następnym uruchomieniu aplikacji Claude Desktop przez użytkownika.
Warto tu zaznaczyć, że jego artykuł dotyczy Claude Desktop, aplikacji dla systemu macOS opartej na platformie Electron, o identyfikatorze pakietu com.anthropic.claudefordesktop, dystrybuowany jako Claude.app. Nie chodzi tu o Claude Code, narzędzie programistyczne firmy Anthropic działające w wierszu poleceń. Claude Code jest autonomiczny („agentyczny”) – pozwala powierzyć mu zadanie, a on sam zajmuje się planowaniem i realizacją aż do jego zakończenia. W przypadku Claude Code umożliwienie komunikacji z przeglądarkami miałoby więc absolutny sens, pod warunkiem że przeglądarki te są zainstalowane w systemie docelowym.
Mamy więc aplikację, która zapisuje dane w katalogach profile/support innych aplikacji (obszarze konfiguracyjnym przeglądarek) i może działać w imieniu użytkownika, korzystając z takich funkcji, jak dostęp do zalogowanej sesji przeglądarki, inspekcja DOM, ekstrakcja danych, wypełnianie formularzy oraz rejestrowanie sesji. Powoduje to zwiększenie powierzchni ataku na każdym komputerze, na którym zostanie umieszczony ten manifest, bez pytania o zgodę.
W opublikowanym przez firmę Anthropic wpisie na blogu poświęconym uruchomieniu „Claude for Chrome”, w którym omówiono wewnętrzne eksperymenty typu red team przeprowadzone przez Anthropic, wyraźnie wskazano na wstrzykiwanie poleceń jako kluczowe zagrożenie oraz podano wskaźniki skuteczności ataków wynoszące 23,6% (bez środków ograniczających ryzyko) i 11,2% (z zastosowaniem środków ograniczających ryzyko). Hanff powołuje się na te dane, argumentując, że wstępnie umieszczony most stanowi poważne zagrożenie.
Jak źle jest?
Native Messaging to standardowy mechanizm platformy Chromium. Nie ma tu mowy o żadnych nieznanych czy egzotycznych technikach jako takich. W dokumentacji Chromewyjaśniono, że procesy Native Messaging działają z uprawnieniami użytkownika i są uruchamiane przez rozszerzenia przeglądarki za pośrednictwem pliku manifestu. Jak zauważył badacz, most ten nie wykonuje żadnych czynności. Istnieje jednak ryzyko jego nadużycia.
Nie sądzę, żeby można było słusznie twierdzić, że program Claude Desktop instaluje oprogramowanie szpiegujące, ale na pewno zwiększa podatność systemu na ataki poprzez poszerzenie powierzchni ataku.
Firma Anthropic dysponowała już oddzielnym, udokumentowanym plikiem manifestu Native Messaging dla Claude Code, który użytkownicy czasami ręcznie kopiowali do innych przeglądarek opartych na silniku Chromium; nowość polega na tym, że aplikacja Claude Desktop automatycznie umieszcza teraz plik manifestu związany z Claude Desktop w wielu ścieżkach przeglądarek.
Wymaga to połączenia rozszerzenia i serwera. Tylko w połączeniu z odpowiednim rozszerzeniem przeglądarki most ten umożliwia korzystanie z funkcji dla użytkowników, które wymieniliśmy wcześniej.
Czego jeszcze nie wiemy
Firma Anthropic nie opublikowała szczegółowej specyfikacji technicznej dotyczącej ochrony prywatności w przypadku mostka między aplikacją Claude Desktop a przeglądarką, więc nie wiemy dokładnie, jakie dane są przesyłane podczas korzystania z Chrome , poza ogólnymi możliwościami opisanymi w dokumentacji (dostęp do sesji, odczyt DOM itp.).
Szczegółowa analiza oraz większość dotychczasowych prób odtworzenia tego zjawiska dotyczy systemu macOS. Nie mamy żadnych informacji na temat zachowania systemu w Windows Linux, podobnie jak w przypadku różnych ścieżek instalacji przeglądarek. Zachowanie to nie zostało również wyczerpująco udokumentowane w publicznie dostępnych publikacjach.
Skontaktowałem się z firmą Anthropic, prosząc o komentarz. Jeśli i kiedy otrzymamy oficjalną odpowiedź od Anthropic, zamieszczę ją tutaj, więc śledźcie tę stronę.
Podsumowanie
Firma Anthropic prawdopodobnie chciała wprowadzić funkcje Chrome„Claude in Chrome” we wszystkich przeglądarkach opartych na silniku Chromium, ale to nie usprawiedliwia wprowadzenia tej zmiany bez uprzedzenia oraz domyślnego zainstalowania pliku manifestu w katalogach profili wielu przeglądarek, w tym tych, które nie zostały jeszcze zainstalowane.
Istnieją lepsze sposoby wprowadzania takich zmian i użytkownicy powinni przynajmniej zostać o nich poinformowani, aby mogli rozważyć korzyści w stosunku do potencjalnych zagrożeń.
Powstrzymaj zagrożenia, zanim wyrządzą jakąkolwiek szkodę.
Malwarebytes Browser Guard automatycznieBrowser Guard strony phishingowe i złośliwe witryny. Bezpłatny, wystarczy jedno kliknięcie, aby zainstalować. Dodaj go do swojej przeglądarki →
