Исследователь в области безопасности Александр Ханфф написал статью под названием «Anthropic тайно устанавливает шпионское ПО при установке Claude Desktop».
Подобные заявления неизбежно вызывают противоречивые мнения, поэтому мы попытались найти официальное опровержение со стороны Anthropic. Но нам его найти не удалось. Меня очень удивило бы, если бы они не знали об этом заявлении, ведь вокруг него поднялся некий шум.
Пользователи Mastodon, Reddit и LinkedIn подтверждают выводы исследователя и обсуждают эту тему, поэтому трудно представить, что Anthropic это упустила.
Давайте сначала рассмотрим эти утверждения.
Работая над другим вопросом, исследователь обнаружил на своём Mac манифест хоста Native Messaging Mac он не устанавливал сознательно. В Chrome других браузерах на базе Chromium расширения могут обмениваться сообщениями с нативными приложениями, если они регистрируют хост Native Messaging, способный взаимодействовать с расширением.
Проведя тестирование на чистом компьютере, Ханфф обнаружил, что при установке Claude Desktop для macOS манифест хоста Native Messaging копируется в несколько профилей Chromium (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium), в том числе и в профили браузеров, которые на данный момент ещё не установлены.
Манифест Native Messaging указывает браузеру на базе Chromium, какой локальный исполняемый файл следует запустить, когда расширение вызывает нативный хост, и эти хосты работают вне песочницы браузера с правами текущего пользователя. Поэтому Ханфф называет это «бэкдором». Манифест заранее авторизует три идентификатора Chrome , поэтому любое расширение с этими идентификаторами может вызвать вспомогательную программу через connectNative, что обеспечивает ему доступ к функциям автоматизации браузера.
Еще одно возражение заключается в том, что Claude делает простое удаление бессмысленным, поскольку манифест будет воссоздан при следующем запуске пользователем Claude Desktop.
Здесь важно отметить, что его статья посвящена Claude Desktop — приложению для macOS на базе Electron с идентификатором пакета com.anthropic.claudefordesktop, распространяемый как Claude.app. Речь не идет о Claude Code — инструменте для разработчиков от Anthropic, работающем в командной строке. Claude Code является автономным («агентным») приложением, которое позволяет передать ему задачу, после чего оно самостоятельно занимается планированием и выполнением до полного завершения. Таким образом, для Claude Code вполне логично было бы обеспечить возможность взаимодействия с браузерами, при условии, что они установлены в целевой системе.
Итак, у нас есть приложение, которое записывает данные в каталоги profile/support других приложений (область настроек браузеров) и может действовать от имени пользователя, используя такие возможности, как доступ к сеансу авторизованного браузера, просмотр DOM, извлечение данных, заполнение форм и запись сеансов. Это расширяет плоскость атаки на каждом компьютере, на который заносится этот манифест, без запроса согласия.
В собственном блоге Anthropic, посвящённом запуску «Claude for Chrome, где обсуждаются внутренние эксперименты компании по моделированию атак (red-team), прямо упоминается вставка подсказок как ключевой риск и приводятся данные об успешности атак: 23,6 % (без мер защиты) и 11,2 % (с мерами защиты). Ханфф ссылается на это, чтобы доказать, что заранее установленный мост представляет собой нетривиальный риск.
Насколько всё плохо?
Native Messaging — это стандартный механизм Chromium. Сами по себе здесь нет никаких неизвестных или экзотических технологий. В документации Chromeобъясняется, что хосты Native Messaging работают с правами пользователя и вызываются расширениями браузера через файл манифеста. И, как отметил исследователь, мост сам по себе ничего не делает. Однако он потенциально может стать объектом злоупотребления.
Я не считаю справедливым утверждать, что Claude Desktop устанавливает шпионское ПО, но он действительно делает систему уязвимой, увеличивая площадь атаки.
У Anthropic уже был отдельный, задокументированный манифест Native Messaging для Claude Code, который пользователи иногда вручную копировали в другие браузеры на базе Chromium; теперь же Claude Desktop автоматически размещает манифест, связанный с Claude Desktop, в нескольких каталогах браузеров.
Для этого требуется сочетание расширения и хоста. Только в сочетании с соответствующим расширением для браузера этот мост обеспечивает те возможности, о которых мы говорили ранее.
Чего мы пока не знаем
Компания Anthropic не опубликовала подробных технических спецификаций по обеспечению конфиденциальности для моста между Claude Desktop и браузером, поэтому мы не знаем точно, какие данные передаются при использовании Chrome , помимо общих возможностей, описанных в их документации (доступ к сеансу, чтение DOM и т. д.).
Подробный анализ и большинство проведенных на данный момент повторных экспериментов касаются macOS. Нам ничего не известно о поведении системы в Windows Linux, и то же самое касается различных путей установки браузеров. Кроме того, это поведение не было всесторонне задокументировано в открытых публикациях.
Я обратился в компанию Anthropic с просьбой о комментарии. Как только мы получим официальный ответ от Anthropic, я размещу его здесь, так что следите за обновлениями.
Заключение
Вероятно, компания Anthropic хотела реализовать функции, Chrome«Claude in Chrome, во всех браузерах на базе Chromium, но это не оправдывает то, что она сделала это незаметно и предустановила манифест в каталоги профилей для нескольких браузеров, включая те, которые ещё не были установлены.
Существуют более эффективные способы внедрения подобных изменений, и пользователей следует, по крайней мере, проинформировать об этом, чтобы они могли сопоставить преимущества с возможными рисками.
Пресекайте угрозы, пока они не нанесли ущерб.
Malwarebytes Browser Guard автоматическиBrowser Guard фишинговые страницы и вредоносные сайты. Бесплатно, устанавливается одним щелчком мыши. Добавьте его в свой браузер →
