O investigador de segurança Alexander Hanff escreveu um artigo intitulado «A Anthropic instala secretamente software espião quando instala o Claude Desktop».
Afirmações como essa acabam por criar dois lados, por isso procurámos uma refutação oficial da Anthropic. Mas não conseguimos encontrar nenhuma. Ficaria muito surpreendido se eles não tivessem conhecimento dessa afirmação, uma vez que tem havido algum alarido em torno do assunto.
Utilizadores do Mastodon, do Reddit e LinkedIn estão a confirmar as conclusões do investigador e a debater o assunto, pelo que é difícil imaginar que a Anthropic não tenha percebido.
Vamos analisar primeiro as alegações.
Enquanto investigava outro assunto, o investigador descobriu no seu Mac um manifesto de host de mensagens nativas Mac não tinha instalado conscientemente. No Chrome noutros navegadores baseados no Chromium, as extensões podem trocar mensagens com aplicações nativas se registarem um host de mensagens nativas capaz de comunicar com a extensão.
Ao realizar testes numa máquina nova, Hanff descobriu que a instalação do Claude Desktop para macOS insere um manifesto de host do Native Messaging em vários perfis do Chromium (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium), incluindo mesmo os navegadores que ainda não estão instalados.
O manifesto do host Native Messaging indica a um navegador baseado no Chromium qual o executável local deve ser invocado quando uma extensão chama um host nativo, e esses hosts são executados fora da sandbox do navegador com as permissões do utilizador atual. Hanff descreve, portanto, isto como uma «porta traseira». O manifesto pré-autoriza três IDs Chrome , pelo que qualquer extensão com esses IDs pode chamar o auxiliar através de connectNative, permitindo-lhe aceder às funcionalidades de automatização do navegador.
Outra objeção é que o Claude torna a simples eliminação inútil, uma vez que o manifesto será recriado na próxima vez que o utilizador iniciar o Claude Desktop.
É importante salientar aqui que o artigo dele é sobre o Claude Desktop, a aplicação para macOS baseada no Electron com o identificador de pacote com.anthropic.claudefordesktop, distribuído como Claude.app. Não se trata do Claude Code, a ferramenta de linha de comandos para programadores da Anthropic. O Claude Code é autónomo («agente»), permitindo-lhe atribuir uma tarefa, e encarrega-se do planeamento e da execução até que esta esteja concluída. Assim, no caso do Claude Code, faria todo o sentido permitir a comunicação com navegadores, desde que estes estejam presentes no sistema de destino.
Portanto, temos uma aplicação que grava nos diretórios «profile» e «support» de outras aplicações (a área de configuração dos navegadores) e pode agir em nome do utilizador, com capacidades como utilizar a sessão do navegador em que o utilizador está conectado, inspeção do DOM, extração de dados, preenchimento de formulários e gravação de sessões. Isto amplia a superfície de ataque de todas as máquinas nas quais este manifesto é instalado, sem solicitar consentimento.
O próprio blogue de lançamento da Anthropic sobre ChromeClaude for Chrome, que aborda as experiências internas de simulação de ataques da Anthropic, menciona explicitamente a injeção de prompts como um risco fundamental e relata taxas de sucesso dos ataques de 23,6% (sem medidas de mitigação) e 11,2% (com medidas de mitigação). Hanff cita estes dados para argumentar que uma ponte pré-posicionada representa um risco significativo.
A situação é assim tão grave?
O Native Messaging é um mecanismo padrão do Chromium. Nada disto constitui, por si só, uma técnica desconhecida ou invulgar. A própria documentação Chromeexplica que os processos do Native Messaging são executados com privilégios de utilizador e são invocados pelas extensões do navegador através de um ficheiro de manifesto. E, tal como o investigador salientou, a ponte não faz nada. Mas poderia, potencialmente, ser alvo de abuso.
Não acho justo dizer que o Claude Desktop instala spyware, mas ele deixa o sistema mais vulnerável ao aumentar a superfície de ataque.
A Anthropic já dispunha de um manifesto Native Messaging separado e documentado para o Claude Code, que os utilizadores por vezes copiavam manualmente para outros navegadores Chromium; o novo comportamento consiste no facto de o Claude Desktop agora inserir automaticamente um manifesto relacionado com o Claude-Desktop em vários diretórios do navegador.
Requer uma combinação de extensão e servidor. Só quando combinada com uma extensão de navegador compatível é que esta ponte permite as funcionalidades para o utilizador que enumerámos anteriormente.
O que ainda não sabemos
A Anthropic ainda não publicou especificações técnicas detalhadas sobre a privacidade da ponte entre o Claude Desktop e o navegador, pelo que não sabemos exatamente quais os dados que são transmitidos quando se utiliza Chrome , para além das funcionalidades gerais descritas na sua documentação (acesso à sessão, leitura do DOM, etc.).
A análise detalhada e a maioria das reproduções realizadas até agora foram feitas no macOS. Não sabemos ao certo como se comporta no Windows no Linux, e o mesmo se aplica a diferentes caminhos de instalação dos navegadores. Esse comportamento também não foi documentado de forma exaustiva em artigos públicos.
Entrei em contacto com a Anthropic para solicitar uma resposta. Se e quando recebermos uma resposta oficial da Anthropic, irei adicioná-la aqui, por isso fiquem atentos.
Conclusão
É provável que a Anthropic pretendesse disponibilizar funcionalidades Chrome«Claude in Chrome» em todos os navegadores baseados no Chromium, mas isso não justifica fazê-lo sem aviso prévio e pré-instalar o manifesto nos diretórios de perfil de vários navegadores, incluindo aqueles que ainda não estão instalados.
Existem formas melhores de implementar mudanças como estas, e os utilizadores deveriam, pelo menos, ser informados sobre elas, para que possam ponderar as vantagens em relação aos riscos potenciais.
Impedir as ameaças antes que causem qualquer dano.
Browser Guard Malwarebytes Browser Guard automaticamente páginas de phishing e sites maliciosos. É gratuito e instala-se com um clique. Adicione-o ao seu navegador →
