プライバシー研究者Alexander Hanffが2026年4月18日に公開したサイバーセキュリティ報告書は、macOS向けのAnthropicのClaude Desktopアプリケーションについて深刻な懸念を提起しました。
調査結果によると、このアプリケーションはユーザーの同意なしに複数のChromiumベースブラウザ全体にネイティブメッセージングブリッジを静かにインストールしています。
この動作は、サンドボックス外のブラウザオートメーション機能をもたらし、標準的なセキュリティ境界を効果的に回避します。
ユーザーの認識や承認の欠如は、サイバーセキュリティ専門家とプライバシー擁護者の間で懸念を引き起こしています。
調査はcom.anthropic.claude_browser_extension.jsonという名前の設定ファイルに焦点を当てています。Hanffは彼のMacBookで関連のないプロジェクトをデバッグしている最中にこのファイルを発見しました。
さらなる分析により、Claude DesktopはGoogle Chrome、Brave、Microsoft Edge、Chromium、Arc、Vivaldi、Operaを含む7つのChromiumベースブラウザのアプリケーションサポートディレクトリに自動的にこのマニフェストを書き込むことが明らかになりました。
特に、アプリケーションはシステムに存在しない、または公式にサポートされていないブラウザのためにもこれらのファイルをインストールします。
さらに、Claude Desktopが起動するたびにファイルが再作成されるため、アプリケーションが完全にアンインストールされない限り、手動での削除は無効です。
ネイティブメッセージングブリッジは、ブラウザ拡張機能と、Claude アプリバンドル内に位置するchrome-native-hostと呼ばれるローカル実行可能ファイルの間の事前承認された通信チャネルとして機能します。
この実行可能ファイルは、フルユーザーレベルの特権でブラウザサンドボックスの外で実行されます。特定の事前承認されたChrome拡張機能がホストシステムに対してコマンドを直接実行することを可能にします。
そのようなアクセスは、完全なDOMコンテンツの読み取り、構造化Webデータの抽出、認証されたセッション状態の共有、フォーム送信の自動化、さらには背景スクリーン記録の実行を含む強力な機能を有効にします。
これらの機能は、影響を受けたシステムの攻撃面を大幅に増加させます。悪用された場合、攻撃者はログインしたユーザーとして、銀行ポータル、エンタープライズダッシュボード、管理システムなどの機密プラットフォームと対話できます。
Anthropicの独自データは、Claude for Chromeが既存のセーフガードにもかかわらず、11.2%の成功率でプロンプトインジェクション攻撃の影響を受けやすいままであることを示しています。
成功したインジェクションにより、攻撃者はブリッジをローカルコード実行に活用できます。
さらに、事前承認された拡張機能のいずれかが悪意のあるアップデートやサプライチェーン攻撃を通じて侵害された場合、脅威アクターはユーザーのシステムへの即座のアクセスを獲得できます。
彼は、ユーザーが永続的なシステムレベルの統合を認識していない場合、特に休止中の機能でも危険をもたらすことを強調しました。
隠れたインストールはブラウザ信頼モデルを損ないし、長期的なプライバシー上の懸念を生成します。
セキュリティ専門家は、Anthropicがブラウザ統合に厳密なオプトインモデルを採用することをお勧めします。ユーザーは明確に通知され、インストール前に明示的な同意を提供する必要があります。
追加の推奨事項には、サポートをユーザーが選択したブラウザに限定し、権限を管理または取り消すための透明な制御を提供することが含まれます。
修正が実装されるまで、macOS上でClaude Desktopを使用している組織は、com.anthropic.claude_browser_extension.jsonファイルのシステム監査を実施し、内部セキュリティポリシーへの準拠を評価することをお勧めします。
