隱私顧問亞歷山大·漢夫(Alexander Hanff)近日發現,Anthropic公司開發的macOS客戶端應用Claude Desktop,在用戶不知情、未授權的情況下,悄然安裝了可影響其他廠商瀏覽器的配置文件,甚至對尚未安裝的瀏覽器提前進行了授權設置。
漢夫在其部落格文章中直言:"這是一種黑暗模式。在我看來,這直接違反了歐盟《電子隱私指令》(2002/58/EC)第5條第3款,以及多項涉及電腦訪問與濫用的法律(通常屬刑法範疇)。而這家公司一直以注重安全為己任,致力於建立負責任的AI實驗室形象。"
上述第5條第3款明確規定,服務提供商在訪問用戶數據前,必須清楚說明數據訪問請求的內容,並在非絕對必要的情況下取得用戶同意。
漢夫表示,他在調試一個使用Native Messaging(一種用於Chrome與其他應用程序通信的API)的應用程序時,發現了這一未經公開的文件安裝行為。Claude Desktop依賴跨平台框架Electron,而Electron內置了一個Chromium版本。
Claude Desktop安裝的文件名為:
com.anthropic.claude_browser_extension.json
這是一個Native Messaging清單文件,在基於Chromium的瀏覽器希望運行本地可執行程序時會被調用。該文件預先授權了三個不同的Chrome擴展標識符(例如Chrome版Claude擴展),使相關瀏覽器能夠運行清單文件中指定的二進制程序。
簡而言之,Claude Desktop正在為其AI模型設置訪問各類瀏覽器以實現自動化操作的能力。更值得注意的是,這一操作針對的甚至包括用戶設備上尚未安裝的瀏覽器——一旦用戶日後安裝這些瀏覽器,Claude將自動獲得訪問權限。
然而,漢夫表示,出於隱私和安全考慮,他從未主動安裝任何Anthropic的瀏覽器擴展。Claude Desktop卻在未告知、未徵得許可的情況下,替他完成了這一操作。
瀏覽器擴展本身就存在較高的安全和隱私風險,因為它們通常會請求過於寬泛的權限。漢夫指出,Chrome版Claude擴展擁有已認證會話的訪問權限,可以讀取網頁內容、填寫表單以及截取螢幕。更令人擔憂的是,充當橋接作用的二進制應用在瀏覽器沙盒之外以用戶權限級別運行,且全程不會觸發任何權限提示。
漢夫列舉了Anthropic這一做法存在的多重問題:在未徵得用戶同意的情況下,跨越信任邊界為其他廠商的瀏覽器寫入配置文件;默認情況下完全不可見,無需用戶主動選擇加入;文件難以刪除;預先授權了尚未安裝的瀏覽器擴展;文件命名方式未能清楚說明所允許操作的範圍;以及預先授權未安裝的瀏覽器使用Native Messaging二進制程序等。
漢夫還援引了Anthropic自身的安全數據指出:"Claude for Chrome在未採取任何緩解措施的情況下,對提示注入攻擊的成功率高達23.6%,即便採用了現有的緩解措施,成功率仍有11.2%。……一旦橋接程序預先安裝在用戶的筆記本電腦上,針對Claude for Chrome的成功提示注入攻擊,就可以藉助擴展程序,通過橋接,進而訪問在瀏覽器沙盒之外以用戶權限運行的輔助二進制程序。"
目前,Anthropic尚未就此事作出回應。
值得注意的是,Claude Desktop的原生消息宿主程序存在一個未修復的漏洞,該問題已於2月28日被GitHub Actions機器人自動關閉。問題根源在於,Claude Code與Claude Desktop的原生消息宿主註冊之間存在衝突,導致相關Chrome擴展在配合Claude Code使用時出現故障。
諮詢公司Digital 520的創始人兼首席顧問諾亞·肯尼(Noah M. Kenney)雖然對漢夫使用"間諜軟體"一詞持保留意見,但認為其調查結果在法律層面具有一定的支撐力。
肯尼在發給媒體的電子郵件中表示:"這些技術層面的說法基本上是可驗證的,且據描述是可重現的。獨立審查人員可以驗證:相同的Native Messaging清單被寫入了多個基於Chromium的瀏覽器路徑;該行為在作業系統層面被歸因於桌面應用程序;安裝事件也被記錄在該應用自身的日誌中。如果這些證據成立,其核心行為就難以否認:桌面應用程序正在多個瀏覽器環境中註冊原生消息宿主,其中包括用戶未主動選擇集成的瀏覽器,且該註冊狀態會持續保留。"
肯尼在聲明自己並非律師的前提下,表示法律層面的判斷更為複雜。
"《電子隱私指令》第5條第3款明確適用於在用戶設備上儲存資訊的行為,因此寫入這些清單文件的行為屬於該條款的管轄範圍。關鍵問題在於,這一行為是否對用戶主動請求的服務'絕對必要'。廠商可能會辯稱這是統一產品體驗的組成部分,但監管機構、尤其是歐洲監管機構,通常會對'絕對必要'作出嚴格解釋。靜默安裝跨應用集成——特別是針對用戶未主動選擇的瀏覽器——很可能無法適用上述豁免條款,這構成切實的監管風險。"
肯尼表示,他對"間諜軟體"這一定性持有異議,因為這個詞傳統上意味著主動、隱蔽地竊取數據。
"這裡描述的情況有所不同,"他說,"這是一個預先部署的集成層,在被瀏覽器擴展觸發之前處於休眠狀態,這是一個重要的區別。儘管如此,風險依然存在——這創建了一個從瀏覽器擴展通向本地可執行文件的持久性、預授權橋接通道,而該可執行文件運行於瀏覽器沙盒之外,安裝時用戶並未得到明確告知,且難以被移除。從安全角度來看,這實質上顯著擴大了攻擊面。"
肯尼同意,Anthropic在此次軟體設計上打破了一條被廣泛認可的信任邊界。
"用戶不會預期一個桌面應用程序會靜默修改其他應用程序,尤其是跨廠商的情況,"他說,"歐洲監管機構尤其要求明確的用戶主動授權、安裝範圍僅限於用戶所選擇的集成項目,以及具備真正撤銷能力的清晰持久性控制機制。而這一實現方式遠未達到上述基本要求。歐洲執法正朝著要求可被演示、用戶可見的控制機制方向推進,而非依賴默示或延遲同意。跨應用邊界的靜默系統修改行為,正是監管機構日益關注的典型模式。"
漢夫表示,Anthropic迄今仍未對他的文章作出任何回應。他尚未提出正式投訴,但若該公司未能修復Claude Desktop的安裝流程,他將考慮採取相應行動。
肯尼最後表示:"拋開法律責任不談,一家用戶視之為安全與隱私標杆的公司,若發布的工具看似背離了這一立場,將承受巨大的聲譽損失,並面臨嚴重的用戶信任危機。"
Q&A
Q1:Claude Desktop安裝了什麼文件,會帶來哪些風險?
A:Claude Desktop在用戶不知情的情況下,安裝了名為com.anthropic.claude_browser_extension.json的Native Messaging清單文件。該文件預先授權三個Chrome擴展標識符,使基於Chromium的瀏覽器能夠運行指定的本地二進制程序。風險在於:該二進制程序在瀏覽器沙盒之外以用戶權限運行,一旦發生成功的提示注入攻擊,攻擊者可藉助擴展程序通過橋接訪問該二進制程序,顯著擴大了系統的安全攻擊面。
Q2:Claude Desktop的行為是否違反歐盟隱私法規?
A:隱私顧問漢夫認為,Claude Desktop的行為直接違反了歐盟《電子隱私指令》第5條第3款,該條款要求服務提供商在訪問用戶設備數據前必須獲得明確同意,除非該訪問行為對所提供的服務"絕對必要"。法律顧問肯尼也指出,靜默安裝跨應用集成,尤其是針對用戶未主動選擇的瀏覽器,很可能無法適用"絕對必要"豁免條款,具有切實的監管風險。
Q3:Claude Desktop的問題對未安裝的瀏覽器也有影響嗎?
A:是的。Claude Desktop會針對用戶設備上尚未安裝的瀏覽器提前寫入授權配置文件。這意味著,一旦用戶日後安裝了受影響的基於Chromium的瀏覽器,Claude將自動獲得訪問權限,用戶無需再次授權,全程不會收到任何權限提示,屬於持久性的預授權行為。
