1つのアプリが他のアプリを明示的な同意なく変更すべきではありません。しかし、Anthropicの macOS用Claude Desktopは、他のベンダーのアプリケーションに影響を与えるファイルをインストールしており、これらのアプリケーションがまだインストールされていないにもかかわらず、ブラウザ拡張機能を同意なく認可しています。
プライバシーコンサルタントで、時折The Registerに寄稿しているAlexander Hanffは、Claude Desktopを「スパイウェア」と呼び、これはヨーロッパのプライバシー法違反に相当すると主張しています。
「はっきり申し上げます」とHanffは週末にブログ記事に書きました。「これはダークパターンです。また、私のプロフェッショナルな見解としては、これは指令2002/58/EC(ePrivacy指令)の第5条3項の直接的な違反です。また、コンピュータアクセスおよび悪用法(通常は刑事法)の多くの違反であり、安全意識のあるAIラボとして知られるほどの努力をしてきたベンダーにおいて、影響を与えるほどの規模です。」
第5条3項は、個人のデータへのアクセスを求めるサービスプロバイダーに対して、データアクセスリクエストについて明確な詳細を提供し、そのアクセスがサービス提供に厳密に必要でない限り同意を取得することを要求しています。
Hanffは、Native Messagingを使用する別のアプリケーションをデバッグしようとしている時に、この未開示のファイルインストールを発見したと説明しています。Native Messagingは、ChromeとOther applications間の通信用のAPIです。Claude Desktopはクロスプラットフォームの Electronフレームワークを使用しており、これはバンドルされたバージョンのChromiumを使用しています。
Claude Desktopがインストールしたファイルは次のようなものです:
com.anthropic.claude_browser_extension.json
これはChromiumベースのブラウザがローカル実行可能ファイルを実行したい場合に呼び出されるNative Messagingマニフェストファイルです。このファイルは3つの異なるChrome拡張機能識別子(例えばClaude in Chrome拡張機能)を事前に認可しており、関連するブラウザーはマニフェストファイルで識別されたバイナリを実行します。
基本的に、Claude Desktopはそのいくつかのブラウザへのアクセスを自動化できるようにAIモデルを設定しています。そして、これはユーザーのデバイスにまだ存在しないブラウザに対して行われるため、これらのブラウザが将来インストールされた場合、それらはClaudeアクセスを許可するようになります。
しかし、Hanffはプライバシーとセキュリティの懸念からAnthropicのブラウザ拡張機能を一度もインストールしなかったと述べています。Claude Desktopは彼の同意なく彼のためにそれをインストールしました。
ブラウザ拡張機能は、広すぎるパーミッションをリクエストすることが多いため、セキュリティとプライバシーの課題を増幅します。Hanffは、Claude in Chromeは認証済みセッションアクセス、ウェブページの読み込み、フォーム入力、スクリーンキャプチャが可能であると指摘しています。さらに、バイナリブリッジアプリケーションはブラウザのサンドボックス外でユーザー権限レベルで実行され、パーミッションプロンプトは表示されないと述べています。
Hanffによると、Anthropicのアプローチは多くの問題を持っています。これは他のベンダーのブラウザの設定ファイルを書き込むことによって、信頼の境界全体で強制的なバンドリングです。デフォルトでは見えず、オプトインがありません。削除が難しいです。インストールされていないブラウザ拡張機能を事前に認可します。ファイル名は何が許可されているかの範囲を明確にしていません。そして他の懸念の中でも、存在しないブラウザがNative Messagingバイナリを使用することを事前に認可しています。
Hanffは「Anthropic独自の安全データでは、Claude for Chromeは、対策がない場合のプロンプトインジェクション成功率が23.6%で、現在の対策では11.2%であると述べられています。…ユーザーのラップトップにブリッジがプレインストールされている場合、Claude for Chromeに対する成功したプロンプトインジェクションは、拡張機能を通じて、ブリッジを通じて、ブラウザサンドボックス外でユーザー権限で実行されているヘルパーバイナリへのパスを持っています。」と述べています。
Anthropicはコメント要求に応じませんでした。
Claude DesktopのネイティブメッセージングホストにはGitHubアクションボットによって2月28日に自動クローズされた未修正のバグがあることを注記します。問題は、Claude CodeとClaude Desktopのネイティブメッセージングホスト登録が相互に競合しており、関連するChrome拡張機能がClaude Codeで失敗することです。
アドバイザリー企業Digital 520の創立者兼主任コンサルタントのNoah M. Kenneyは、Hanffの「スパイウェア」という用語の使用に異議を唱えていますが、彼の調査結果は彼の法的推論をサポートしていると述べています。
「ここでの技術的な主張は、大部分がテスト可能であり、説明されているように再現可能です」とKenneyはThe Registerへのメールで述べました。「独立したレビューアーは、複数のChromiumベースのブラウザパスにわたって同じNative Messagingマニフェストが書き込まれていること、そのアクティビティがOSレベルでデスクトップアプリケーションに帰属していること、インストールイベントがアプリ自体のログに記録されていることを確認できます。これらのアーティファクトが保持されている場合、コアの動作は異議の余地がありません:デスクトップアプリケーションは複数のブラウザ環境全体でNative Messagingホストを登録しており、ユーザーが積極的に統合することを選択していないものを含めて、その登録を永続的に維持しています。」
彼は弁護士ではないという免責事項とともに、Kenneyは法的フレーミングがより複雑であると述べました。
「ePrivacy指令の第5条3項は、ユーザーのデバイスに情報を保存することに明らかに適用されるため、これらのマニフェストを書く行為は対象範囲内です。重要な質問は、そのアクションがユーザーが実際にリクエストしたサービスに「厳密に必要」であるかどうかです。
「ベンダーはこれが統一された製品体験の一部であると主張するでしょうが、特にヨーロッパの規制当局は、「厳密に必要」を狭く解釈する傾向があります。サイレントにクロスアプリケーション統合をインストールすること、特にユーザーが選択していないブラウザーへのインストールは、その除外項目の外側にある可能性が高く、信頼できる規制上のリスクを伴っています。」
Kenneyは「スパイウェア」という用語に異議を唱えると述べました。従来は積極的で秘密のデータ流出を意味しているためです。
「ここで説明されていることは異なります」と彼は述べました。「これはブラウザ拡張機能によってトリガーされるまで非アクティブなままである事前配置統合レイヤーであり、これは重要な区別です。それでも、リスクはまだ実在しています。これはブラウザ拡張機能からローカル実行可能ファイルへの永続的な事前許可されたブリッジを作成し、ブラウザサンドボックスの外で実行され、明確なユーザー認識なしにインストールされ、削除が困難です。セキュリティの観点から、これは攻撃面を大幅に拡大します。」
Kenneyは、Anthropicがこの事例でそのソフトウェアを設計した方法が、広く理解されている信頼の境界を破ることに同意しています。
「ユーザーはデスクトップアプリケーションが他のアプリケーションをサイレントに変更することを期待していません。特にベンダー全体では」と彼は述べました。「ヨーロッパの規制当局は、特に明示的なオプトイン、ユーザーが選択した統合のみにスコープされたインストール、および実際の無効化による明確な永続的なコントロールを期待しています。この実装はそのベースラインを下回っています。ヨーロッパの執行は、暗示的または繰延同意ではなく、実証可能でユーザーに見える制御に向かっています。アプリケーション境界全体での静かなシステム修正は、規制当局がますます焦点を当てているこのようなパターンです。」
HanffはThe Registerに、Anthropicがまだ彼の投稿に応答していないと述べました。彼は正式な苦情を提出していないが、会社がClaudeのデスクトップインストールプロセスを修正するのに失敗した場合に提出することを意図していると述べました。
Kenneyは「法的な影響を脇に置いて、ユーザーが安全とプライバシーにコミットしていると認識している会社がこの姿勢を弱体化させるように見えるツールをリリースしていることから、実質的な評判の損害とユーザー信頼の喪失があります。」と述べました。®
