网络安全专家亚历山大・汉夫(Alexander Hanff)在个人博客上曝光了 Anthropic 公司的 Claude Desktop 应用存在安全隐患。他指出,该应用在用户不知情的情况下,向 Chrome、Brave、Edge 等七款 Chromium 浏览器 “静默安装” 了 Native Messaging 桥接文件,具有潜在的间谍软件能力。
根据汉夫的调查,当用户安装 Claude Desktop 后,该应用会自动将名为com.anthropic.claude_browser_extension.json 的桥接文件写入多款浏览器的配置目录,甚至在用户未安装某些浏览器的情况下也会创建相关目录。这种做法意味着,如果用户未来安装了这些浏览器,Claude 扩展将无需再次征求用户同意便可获得相关权限。数智化转型网www.szhzxw.cn
该桥接文件的主要功能是允许特定的浏览器扩展调用本地可执行程序。根据 Anthropic 的官方文档,该组件具备强大的浏览器自动化能力,能进行诸如打开新标签页、共享登录状态、读取 DOM 内容、填充表单以及录制屏幕等操作。这使得一旦用户安装了相应的扩展,Claude 便能以用户身份访问敏感网站,包括银行和税务等,并且可在浏览器沙箱之外运行,具有用户级权限。数智化转型网www.szhzxw.cn
汉夫还指出,Anthropic 官方数据显示,其 Chrome 扩展在遭遇恶意攻击时,提示词注入的成功率约为 11.2%,这为攻击者提供了通过受感染扩展或恶意网页接管用户浏览器会话的风险。汉夫认为,这种未经授权的行为触犯了多项安全原则,包括强制捆绑和信任边界的突破,并且用户无法通过常规界面发现或管理该组件。数智化转型网www.szhzxw.cn
汉夫呼吁,Anthropic 应立即移除该组件,或在明确告知用户并获得授权后再进行安装。这一事件提醒用户在安装软件时要提高警惕,确保自身的隐私和数据安全。数智化转型网www.szhzxw.cn
若您对人工智能感兴趣,可添加数智化转型网小助手思思微信加入人工智能交流群。若您在寻找人工智能供应商,可联系数智化转型网小助手思思(17757154048,微信同号)
若您为人工智能服务商,可添加数智化转型网小助手Nora,加入人工智能行业交流群。
若您为人工智能创业者,可添加数智化转型网社群主理人Carina,加入人工智能创业交流群。
声明:本文来自数智化转型网,版权归作者所有。文章内容仅代表作者独立观点,不代表数智化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。
本文由数智化转型网(www.szhzxw.cn)转载,编辑/翻译:数智化转型网(Professionalism Achieves Leadership 专业造就领导者)白龙
