隐私顾问亚历山大·汉夫(Alexander Hanff)近日发现,Anthropic公司开发的macOS客户端应用Claude Desktop,在用户不知情、未授权的情况下,悄然安装了可影响其他厂商浏览器的配置文件,甚至对尚未安装的浏览器提前进行了授权设置。
汉夫在其博客文章中直言:"这是一种黑暗模式。在我看来,这直接违反了欧盟《电子隐私指令》(2002/58/EC)第5条第3款,以及多项涉及计算机访问与滥用的法律(通常属刑法范畴)。而这家公司一直以注重安全为己任,致力于建立负责任的AI实验室形象。"
上述第5条第3款明确规定,服务提供商在访问用户数据前,必须清楚说明数据访问请求的内容,并在非绝对必要的情况下取得用户同意。
汉夫表示,他在调试一个使用Native Messaging(一种用于Chrome与其他应用程序通信的API)的应用程序时,发现了这一未经公开的文件安装行为。Claude Desktop依赖跨平台框架Electron,而Electron内置了一个Chromium版本。
Claude Desktop安装的文件名为:
com.anthropic.claude_browser_extension.json
这是一个Native Messaging清单文件,在基于Chromium的浏览器希望运行本地可执行程序时会被调用。该文件预先授权了三个不同的Chrome扩展标识符(例如Chrome版Claude扩展),使相关浏览器能够运行清单文件中指定的二进制程序。
简而言之,Claude Desktop正在为其AI模型设置访问各类浏览器以实现自动化操作的能力。更值得注意的是,这一操作针对的甚至包括用户设备上尚未安装的浏览器——一旦用户日后安装这些浏览器,Claude将自动获得访问权限。
然而,汉夫表示,出于隐私和安全考虑,他从未主动安装任何Anthropic的浏览器扩展。Claude Desktop却在未告知、未征得许可的情况下,替他完成了这一操作。
浏览器扩展本身就存在较高的安全和隐私风险,因为它们通常会请求过于宽泛的权限。汉夫指出,Chrome版Claude扩展拥有已认证会话的访问权限,可以读取网页内容、填写表单以及截取屏幕。更令人担忧的是,充当桥接作用的二进制应用在浏览器沙盒之外以用户权限级别运行,且全程不会触发任何权限提示。
汉夫列举了Anthropic这一做法存在的多重问题:在未征得用户同意的情况下,跨越信任边界为其他厂商的浏览器写入配置文件;默认情况下完全不可见,无需用户主动选择加入;文件难以删除;预先授权了尚未安装的浏览器扩展;文件命名方式未能清楚说明所允许操作的范围;以及预先授权未安装的浏览器使用Native Messaging二进制程序等。
汉夫还援引了Anthropic自身的安全数据指出:"Claude for Chrome在未采取任何缓解措施的情况下,对提示注入攻击的成功率高达23.6%,即便采用了现有的缓解措施,成功率仍有11.2%。……一旦桥接程序预先安装在用户的笔记本电脑上,针对Claude for Chrome的成功提示注入攻击,就可以借助扩展程序,通过桥接,进而访问在浏览器沙盒之外以用户权限运行的辅助二进制程序。"
目前,Anthropic尚未就此事作出回应。
值得注意的是,Claude Desktop的原生消息宿主程序存在一个未修复的漏洞,该问题已于2月28日被GitHub Actions机器人自动关闭。问题根源在于,Claude Code与Claude Desktop的原生消息宿主注册之间存在冲突,导致相关Chrome扩展在配合Claude Code使用时出现故障。
咨询公司Digital 520的创始人兼首席顾问诺亚·肯尼(Noah M. Kenney)虽然对汉夫使用"间谍软件"一词持保留意见,但认为其调查结果在法律层面具有一定的支撑力。
肯尼在发给媒体的电子邮件中表示:"这些技术层面的说法基本上是可验证的,且据描述是可重现的。独立审查人员可以验证:相同的Native Messaging清单被写入了多个基于Chromium的浏览器路径;该行为在操作系统层面被归因于桌面应用程序;安装事件也被记录在该应用自身的日志中。如果这些证据成立,其核心行为就难以否认:桌面应用程序正在多个浏览器环境中注册原生消息宿主,其中包括用户未主动选择集成的浏览器,且该注册状态会持续保留。"
肯尼在声明自己并非律师的前提下,表示法律层面的判断更为复杂。
"《电子隐私指令》第5条第3款明确适用于在用户设备上存储信息的行为,因此写入这些清单文件的行为属于该条款的管辖范围。关键问题在于,这一行为是否对用户主动请求的服务'绝对必要'。厂商可能会辩称这是统一产品体验的组成部分,但监管机构、尤其是欧洲监管机构,通常会对'绝对必要'作出严格解释。静默安装跨应用集成——特别是针对用户未主动选择的浏览器——很可能无法适用上述豁免条款,这构成切实的监管风险。"
肯尼表示,他对"间谍软件"这一定性持有异议,因为这个词传统上意味着主动、隐蔽地窃取数据。
"这里描述的情况有所不同,"他说,"这是一个预先部署的集成层,在被浏览器扩展触发之前处于休眠状态,这是一个重要的区别。尽管如此,风险依然存在——这创建了一个从浏览器扩展通向本地可执行文件的持久性、预授权桥接通道,而该可执行文件运行于浏览器沙盒之外,安装时用户并未得到明确告知,且难以被移除。从安全角度来看,这实质上显著扩大了攻击面。"
肯尼同意,Anthropic在此次软件设计上打破了一条被广泛认可的信任边界。
"用户不会预期一个桌面应用程序会静默修改其他应用程序,尤其是跨厂商的情况,"他说,"欧洲监管机构尤其要求明确的用户主动授权、安装范围仅限于用户所选择的集成项目,以及具备真正撤销能力的清晰持久性控制机制。而这一实现方式远未达到上述基本要求。欧洲执法正朝着要求可被演示、用户可见的控制机制方向推进,而非依赖默示或延迟同意。跨应用边界的静默系统修改行为,正是监管机构日益关注的典型模式。"
汉夫表示,Anthropic迄今仍未对他的文章作出任何回应。他尚未提出正式投诉,但若该公司未能修复Claude Desktop的安装流程,他将考虑采取相应行动。
肯尼最后表示:"抛开法律责任不谈,一家用户视之为安全与隐私标杆的公司,若发布的工具看似背离了这一立场,将承受巨大的声誉损失,并面临严重的用户信任危机。"
Q&A
Q1:Claude Desktop安装了什么文件,会带来哪些风险?
A:Claude Desktop在用户不知情的情况下,安装了名为com.anthropic.claude_browser_extension.json的Native Messaging清单文件。该文件预先授权三个Chrome扩展标识符,使基于Chromium的浏览器能够运行指定的本地二进制程序。风险在于:该二进制程序在浏览器沙盒之外以用户权限运行,一旦发生成功的提示注入攻击,攻击者可借助扩展程序通过桥接访问该二进制程序,显著扩大了系统的安全攻击面。
Q2:Claude Desktop的行为是否违反欧盟隐私法规?
A:隐私顾问汉夫认为,Claude Desktop的行为直接违反了欧盟《电子隐私指令》第5条第3款,该条款要求服务提供商在访问用户设备数据前必须获得明确同意,除非该访问行为对所提供的服务"绝对必要"。法律顾问肯尼也指出,静默安装跨应用集成,尤其是针对用户未主动选择的浏览器,很可能无法适用"绝对必要"豁免条款,具有切实的监管风险。
Q3:Claude Desktop的问题对未安装的浏览器也有影响吗?
A:是的。Claude Desktop会针对用户设备上尚未安装的浏览器提前写入授权配置文件。这意味着,一旦用户日后安装了受影响的基于Chromium的浏览器,Claude将自动获得访问权限,用户无需再次授权,全程不会收到任何权限提示,属于持久性的预授权行为。
热门跟贴