O pesquisador de segurança Alexander Hanff escreveu um artigo intitulado “A Anthropic instala secretamente um spyware quando você instala o Claude Desktop”.
Afirmações como essa inevitavelmente geram dois lados, por isso procuramos por uma refutação oficial da Anthropic. Mas não conseguimos encontrar nenhuma. Ficaria muito surpreso se eles não estivessem cientes da alegação, já que tem havido bastante repercussão sobre o assunto.
Usuários do Mastodon, Reddit e LinkedIn estão confirmando as descobertas do pesquisador e discutindo o assunto, então é difícil imaginar que a Anthropic não tenha percebido isso.
Vamos analisar primeiro as alegações.
Enquanto investigava outro assunto, o pesquisador descobriu um manifesto de host de mensagens nativas em seu Mac ele não havia instalado conscientemente. No Chrome em outros navegadores baseados no Chromium, as extensões podem trocar mensagens com aplicativos nativos se registrarem um host de mensagens nativas capaz de se comunicar com a extensão.
Ao realizar testes em um computador sem instalações, Hanff descobriu que a instalação do Claude Desktop para macOS insere um manifesto de host do Native Messaging em vários perfis do Chromium (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium), inclusive em navegadores que ainda não estão instalados.
O manifesto do Native Messaging indica a um navegador baseado no Chromium qual executável local deve ser chamado quando uma extensão invoca um host nativo, e esses hosts são executados fora da área restrita do navegador com as permissões do usuário atual. Hanff, portanto, descreve isso como uma “porta dos fundos”. O manifesto pré-autoriza três IDs Chrome , de modo que qualquer extensão com esses IDs pode chamar o auxiliar por meio de connectNative, permitindo-lhe acessar os recursos de automação do navegador.
Outra objeção é que o Claude torna a simples exclusão inútil, já que o manifesto será recriado na próxima vez que o usuário iniciar o Claude Desktop.
É importante ressaltar aqui que o artigo dele trata do Claude Desktop, o aplicativo para macOS baseado no Electron com o identificador de pacote com.anthropic.claudefordesktop, distribuído como Claude.app. Não se trata do Claude Code, a ferramenta de linha de comando para desenvolvedores da Anthropic. O Claude Code é autônomo (“agente”), permitindo que você lhe atribua uma tarefa, e ele se encarrega do planejamento e da execução até que ela seja concluída. Portanto, no caso do Claude Code, faria todo o sentido habilitar a comunicação com navegadores, desde que estes estejam presentes no sistema de destino.
Portanto, temos um aplicativo que grava nos diretórios profile/support de outros aplicativos (a área de configuração dos navegadores) e pode agir como o usuário, com recursos como o uso da sessão do navegador em que o usuário está conectado, inspeção do DOM, extração de dados, preenchimento de formulários e gravação de sessões. Isso amplia a superfície de ataque de todas as máquinas nas quais esse manifesto é instalado, sem solicitar consentimento.
O próprio blog de lançamento da Anthropic sobre ChromeClaude for Chrome, que aborda os experimentos internos de simulação de ataques da empresa, menciona explicitamente a injeção de prompts como um risco fundamental e relata taxas de sucesso dos ataques de 23,6% (sem medidas de mitigação) e 11,2% (com medidas de mitigação). Hanff cita isso para argumentar que uma ponte pré-posicionada representa um risco significativo.
A situação está tão ruim assim?
O Native Messaging é um mecanismo padrão do Chromium. Nada aqui constitui, por si só, uma técnica desconhecida ou exótica. A própria documentação Chromeexplica que os hosts do Native Messaging são executados com privilégios de usuário e são invocados por extensões do navegador por meio de um arquivo de manifesto. E, como o pesquisador apontou, a ponte não faz nada. Mas poderia, potencialmente, ser alvo de abuso.
Não acho justo dizer que o Claude Desktop instala spyware, mas ele deixa o sistema mais vulnerável ao ampliar a superfície de ataque.
A Anthropic já possuía um manifesto Native Messaging separado e documentado para o Claude Code, que os usuários às vezes copiavam manualmente para outros navegadores baseados no Chromium; a novidade é que o Claude Desktop agora insere automaticamente um manifesto relacionado ao Claude-Desktop em vários diretórios de navegadores.
Isso requer uma combinação de extensão e servidor. Somente quando combinada com uma extensão de navegador compatível, essa ponte permite os recursos para o usuário que listamos anteriormente.
O que ainda não sabemos
A Anthropic não publicou especificações técnicas detalhadas sobre privacidade para a ponte entre o Claude Desktop e o navegador, por isso não sabemos exatamente quais dados são transmitidos quando a Chrome é utilizada, além dos recursos gerais descritos em sua documentação (acesso à sessão, leitura do DOM, etc.).
A análise detalhada e a maioria das reproduções até o momento foram realizadas no macOS. Não temos informações sobre o comportamento no Windows no Linux, e o mesmo se aplica a diferentes caminhos de instalação dos navegadores. Esse comportamento também não foi documentado de forma abrangente em artigos públicos.
Entrei em contato com a Anthropic solicitando uma resposta. Se e quando recebermos uma resposta oficial da Anthropic, vou adicioná-la aqui, então fiquem ligados.
Conclusão
É provável que a Anthropic quisesse recursos Chrome“Claude in Chrome” em todos os navegadores baseados no Chromium, mas isso não justifica fazê-lo sem aviso prévio e pré-instalar o manifesto nos diretórios de perfil de vários navegadores, incluindo aqueles que ainda não estão instalados.
Existem maneiras melhores de implementar mudanças como essas, e os usuários deveriam, no mínimo, ser informados sobre elas para que possam avaliar as vantagens em relação aos riscos potenciais.
Impedir que as ameaças causem qualquer dano.
Browser Guard Malwarebytes Browser Guard páginas de phishing e sites maliciosos automaticamente. É gratuito e se instala com um clique. Adicione-o ao seu navegador →
