セキュリティ研究者Alexander Hanffは、Anthropic is Claude Desktopをインストールすると密かにスパイウェアをインストールするというタイトルの記事を執筆しました。
このような主張は必ず両派を生み出すため、私たちはAnthropicからの公式な反論を探しました。しかし見つけることができませんでした。それについて多くのノイズがあったので、彼らがこの主張を知らなかったとしたら非常に驚くでしょう。
Mastodon、Reddit、LinkedInのユーザーは、研究者の発見を確認し、このテーマについて議論しており、Anthropicがそれを見落とした可能性は低いです。
まず主張を見てみましょう。
別の問題を調査している間に、研究者は自分のMac上に、自分が意図的にインストールしなかったネイティブメッセージングホストマニフェストを発見しました。Chromeおよびその他のChromiumベースのブラウザでは、拡張機能は、拡張機能と通信できるネイティブメッセージングホストを登録することで、ネイティブアプリケーションとメッセージを交換できます。
クリーンマシンでテストすることで、Hanffは、macOS用Claude Desktopをインストールすると、複数のChromiumプロフィール(Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium)にネイティブメッセージングホストマニフェストが挿入されることを発見しました。実際にはまだインストールされていないブラウザについてもです。
ネイティブメッセージングホストマニフェストは、拡張機能がネイティブホストを呼び出したときにChromiumベースのブラウザが呼び出すローカル実行可能ファイルを指示し、これらのホストはブラウザサンドボックスの外で現在のユーザーのアクセス許可で実行されます。したがって、Hanffはこれを「バックドア」と説明しています。マニフェストは3つのChrome拡張機能IDを事前に認可しており、これらのIDを持つすべての拡張機能がconnectNativeを介してヘルパーを呼び出すことができ、ブラウザオートメーション機能にアクセスできるようになります。
もう1つの異議は、Claudeが単純な削除を無効にするということです。ユーザーがClaude Desktopを次に起動するときにマニフェストが再作成されるからです。
ここで重要なのは、彼の記事はClaude Desktop、つまりバンドル識別子com.anthropic.claudefordesktopを持つElectronベースのmacOSアプリケーション、Claude.appとして配布されているものについてであるということです。これはAnthropicのコマンドラインデベロッパーツールであるClaude Codeについてではありません。Claude Codeは自律的(「エージェント」)であり、タスクを任せることができ、完了まで計画と実行を処理します。したがって、Claude Codeの場合、ターゲットシステムに存在するブラウザとの通信を有効にすることは絶対に理にかなっています。
つまり、他のアプリのプロフィール/サポートディレクトリ(ブラウザの設定エリア)に書き込むアプリケーションであり、ユーザーとして行動でき、ログイン済みのブラウザセッション使用、DOM検査、データ抽出、フォーム入力、セッション記録などの機能を持っています。これは、同意を求めることなく、このマニフェストが挿入されたすべてのマシンの攻撃表面を拡大します。
Anthropicの「Claude for Chrome」についての独自のローンチブログは、Anthropicの内部レッドチームの実験について説明し、プロンプトインジェクションが重要なリスクであることを明示的に述べており、攻撃成功率23.6%(緩和なし)および11.2%(緩和あり)を報告しています。Hanffはこれを引用して、事前に配置されたブリッジが些細でないリスクであると主張しています。
どの程度悪いのか?
ネイティブメッセージングはChromiumの標準的なメカニズムです。ここには本来、未知または奇異な技術は何もありません。Chromeの独自のドキュメントでは、ネイティブメッセージングホストがユーザー権限で実行され、マニフェストファイルを通じてブラウザ拡張機能によって呼び出されることを説明しています。そして研究者が指摘したように、ブリッジは何もしません。しかし、可能性として悪用される可能性があります。
Claude Desktopがスパイウェアをインストールすると言うのは公正ではありませんが、攻撃表面を拡大することでシステムを開いています。
Anthropicはすでに、Claude Codeの別の文書化されたネイティブメッセージングマニフェストを持っていており、ユーザーは時々それを他のChromiumブラウザに手動でコピーしていました。新しい動作は、Claude Desktopが現在、Claude Desktop関連のマニフェストを複数のブラウザパスに自動的にドロップするということです。
これには拡張機能とホストの組み合わせが必要です。マッチングするブラウザ拡張機能と組み合わせたときのみ、このブリッジはユーザーのような機能を有効にします。私たちが先ほど列挙したものです。
まだ分かっていないこと
Anthropicはクロード・デスクトップ-ブラウザブリッジの詳細な技術プライバシー仕様を公開していないため、Chrome統合が使用されたときにどのようなデータが流れるのか、彼らのドキュメントに記載されている一般的な機能(セッションアクセス、DOM読み取りなど)を超えて正確には分かりません。
詳細な分析とほとんどのレプリケーションはmacOS上にあります。WindowsとLinuxの動作については暗黒にあり、異なるブラウザインストールパス全体でも同じことが言えます。その動作は公開の記事でも包括的に文書化されていません。
I did reach out to Anthropic asking for a response. If and when we get an official response from Anthropic, I’ll add it here, so stay tuned.
私はAnthropicに対応を求めて連絡を取りました。Anthropicからの公式な対応があれば、ここに追加します。お楽しみに。
結論
Anthropicは「Claude in Chrome」スタイルの機能をChromiumベースのブラウザ全体で実現したいと考えていたのだと思いますが、それは静かにそれを行い、マニフェストを複数のブラウザのプロフィールディレクトリに事前インストールすることを正当化していません。これにはまだインストールされていないものも含まれます。
これらのような変更を実装するためのより良い方法があります。ユーザーは少なくともそれらを認識すべきであり、利点を潜在的なリスクに対して比較検討することができます。
脅威を害を及ぼす前に阻止してください。
Malwarebytes Browser Guardはフィッシングページと悪意のあるサイトを自動的にブロックします。無料、ワンクリックでインストール。ブラウザに追加する →
