Claude Desktop在未经许可的情况下修改其他应用程序的访问设置

隐私顾问亚历山大·汉夫（Alexander Hanff）近日发现，Anthropic公司开发的macOS客户端应用Claude Desktop，在用户不知情、未授权的情况下，悄然安装了可影响其他厂商浏览器的配置文件，甚至对尚未安装的浏览器提前进行了授权设置。

汉夫在其博客文章中直言："这是一种黑暗模式。在我看来，这直接违反了欧盟《电子隐私指令》（2002/58/EC）第5条第3款，以及多项涉及计算机访问与滥用的法律（通常属刑法范畴）。而这家公司一直以注重安全为己任，致力于建立负责任的AI实验室形象。"

上述第5条第3款明确规定，服务提供商在访问用户数据前，必须清楚说明数据访问请求的内容，并在非绝对必要的情况下取得用户同意。

汉夫表示，他在调试一个使用Native Messaging（一种用于Chrome与其他应用程序通信的API）的应用程序时，发现了这一未经公开的文件安装行为。Claude Desktop依赖跨平台框架Electron，而Electron内置了一个Chromium版本。

Claude Desktop安装的文件名为：

com.anthropic.claude_browser_extension.json

这是一个Native Messaging清单文件，在基于Chromium的浏览器希望运行本地可执行程序时会被调用。该文件预先授权了三个不同的Chrome扩展标识符（例如Chrome版Claude扩展），使相关浏览器能够运行清单文件中指定的二进制程序。

简而言之，Claude Desktop正在为其AI模型设置访问各类浏览器以实现自动化操作的能力。更值得注意的是，这一操作针对的甚至包括用户设备上尚未安装的浏览器——一旦用户日后安装这些浏览器，Claude将自动获得访问权限。

然而，汉夫表示，出于隐私和安全考虑，他从未主动安装任何Anthropic的浏览器扩展。Claude Desktop却在未告知、未征得许可的情况下，替他完成了这一操作。

浏览器扩展本身就存在较高的安全和隐私风险，因为它们通常会请求过于宽泛的权限。汉夫指出，Chrome版Claude扩展拥有已认证会话的访问权限，可以读取网页内容、填写表单以及截取屏幕。更令人担忧的是，充当桥接作用的二进制应用在浏览器沙盒之外以用户权限级别运行，且全程不会触发任何权限提示。

汉夫列举了Anthropic这一做法存在的多重问题：在未征得用户同意的情况下，跨越信任边界为其他厂商的浏览器写入配置文件；默认情况下完全不可见，无需用户主动选择加入；文件难以删除；预先授权了尚未安装的浏览器扩展；文件命名方式未能清楚说明所允许操作的范围；以及预先授权未安装的浏览器使用Native Messaging二进制程序等。

汉夫还援引了Anthropic自身的安全数据指出："Claude for Chrome在未采取任何缓解措施的情况下，对提示注入攻击的成功率高达23.6%，即便采用了现有的缓解措施，成功率仍有11.2%。……一旦桥接程序预先安装在用户的笔记本电脑上，针对Claude for Chrome的成功提示注入攻击，就可以借助扩展程序，通过桥接，进而访问在浏览器沙盒之外以用户权限运行的辅助二进制程序。"

目前，Anthropic尚未就此事作出回应。

值得注意的是，Claude Desktop的原生消息宿主程序存在一个未修复的漏洞，该问题已于2月28日被GitHub Actions机器人自动关闭。问题根源在于，Claude Code与Claude Desktop的原生消息宿主注册之间存在冲突，导致相关Chrome扩展在配合Claude Code使用时出现故障。

咨询公司Digital 520的创始人兼首席顾问诺亚·肯尼（Noah M. Kenney）虽然对汉夫使用"间谍软件"一词持保留意见，但认为其调查结果在法律层面具有一定的支撑力。

肯尼在发给媒体的电子邮件中表示："这些技术层面的说法基本上是可验证的，且据描述是可重现的。独立审查人员可以验证：相同的Native Messaging清单被写入了多个基于Chromium的浏览器路径；该行为在操作系统层面被归因于桌面应用程序；安装事件也被记录在该应用自身的日志中。如果这些证据成立，其核心行为就难以否认：桌面应用程序正在多个浏览器环境中注册原生消息宿主，其中包括用户未主动选择集成的浏览器，且该注册状态会持续保留。"

肯尼在声明自己并非律师的前提下，表示法律层面的判断更为复杂。

"《电子隐私指令》第5条第3款明确适用于在用户设备上存储信息的行为，因此写入这些清单文件的行为属于该条款的管辖范围。关键问题在于，这一行为是否对用户主动请求的服务'绝对必要'。厂商可能会辩称这是统一产品体验的组成部分，但监管机构、尤其是欧洲监管机构，通常会对'绝对必要'作出严格解释。静默安装跨应用集成——特别是针对用户未主动选择的浏览器——很可能无法适用上述豁免条款，这构成切实的监管风险。"

肯尼表示，他对"间谍软件"这一定性持有异议，因为这个词传统上意味着主动、隐蔽地窃取数据。

"这里描述的情况有所不同，"他说，"这是一个预先部署的集成层，在被浏览器扩展触发之前处于休眠状态，这是一个重要的区别。尽管如此，风险依然存在——这创建了一个从浏览器扩展通向本地可执行文件的持久性、预授权桥接通道，而该可执行文件运行于浏览器沙盒之外，安装时用户并未得到明确告知，且难以被移除。从安全角度来看，这实质上显著扩大了攻击面。"

肯尼同意，Anthropic在此次软件设计上打破了一条被广泛认可的信任边界。

"用户不会预期一个桌面应用程序会静默修改其他应用程序，尤其是跨厂商的情况，"他说，"欧洲监管机构尤其要求明确的用户主动授权、安装范围仅限于用户所选择的集成项目，以及具备真正撤销能力的清晰持久性控制机制。而这一实现方式远未达到上述基本要求。欧洲执法正朝着要求可被演示、用户可见的控制机制方向推进，而非依赖默示或延迟同意。跨应用边界的静默系统修改行为，正是监管机构日益关注的典型模式。"

汉夫表示，Anthropic迄今仍未对他的文章作出任何回应。他尚未提出正式投诉，但若该公司未能修复Claude Desktop的安装流程，他将考虑采取相应行动。

肯尼最后表示："抛开法律责任不谈，一家用户视之为安全与隐私标杆的公司，若发布的工具看似背离了这一立场，将承受巨大的声誉损失，并面临严重的用户信任危机。"

Q&A

Q1：Claude Desktop安装了什么文件，会带来哪些风险？

A：Claude Desktop在用户不知情的情况下，安装了名为com.anthropic.claude_browser_extension.json的Native Messaging清单文件。该文件预先授权三个Chrome扩展标识符，使基于Chromium的浏览器能够运行指定的本地二进制程序。风险在于：该二进制程序在浏览器沙盒之外以用户权限运行，一旦发生成功的提示注入攻击，攻击者可借助扩展程序通过桥接访问该二进制程序，显著扩大了系统的安全攻击面。

Q2：Claude Desktop的行为是否违反欧盟隐私法规？

A：隐私顾问汉夫认为，Claude Desktop的行为直接违反了欧盟《电子隐私指令》第5条第3款，该条款要求服务提供商在访问用户设备数据前必须获得明确同意，除非该访问行为对所提供的服务"绝对必要"。法律顾问肯尼也指出，静默安装跨应用集成，尤其是针对用户未主动选择的浏览器，很可能无法适用"绝对必要"豁免条款，具有切实的监管风险。

Q3：Claude Desktop的问题对未安装的浏览器也有影响吗？

A：是的。Claude Desktop会针对用户设备上尚未安装的浏览器提前写入授权配置文件。这意味着，一旦用户日后安装了受影响的基于Chromium的浏览器，Claude将自动获得访问权限，用户无需再次授权，全程不会收到任何权限提示，属于持久性的预授权行为。