Claude桌面版偷偷给没装的浏览器开后门

你刚装完一个AI应用，还没点开过Chrome，它就已经在系统深处写好了配置文件——等着浏览器哪天出现，自动给自己开权限。

这不是假设。隐私顾问Alexander Hanff在调试另一款应用时，发现Anthropic的Claude Desktop for macOS干的就是这事。

打开网易新闻 查看精彩图片

发现：一个本不该存在的文件

Hanff原本在排查Native Messaging相关的问题。这个API让Chrome等浏览器能和本地应用通信，是很多扩展功能的底层机制。

他在系统里找到了这个文件：

com.anthropic.claude_browser_extension.json

这是一个Native Messaging清单文件。它的作用很简单：当基于Chromium的浏览器想运行本地可执行文件时，会调用这个文件。而Claude Desktop提前往里面填了三个Chrome扩展标识符，相当于给"Claude in Chrome extension"这类扩展发了预授权。

问题是，Hanff根本没装过任何Anthropic的浏览器扩展。他因为隐私和安全顾虑，刻意避开了这些功能。

Claude Desktop替他做了决定，没有提示，没有同意按钮。

更深一层：为"尚未存在"的浏览器铺路

这个文件的诡异之处还不止预授权。

Claude Desktop把配置写进了Chromium的默认路径——哪怕用户电脑上根本没有Chrome、Edge或任何Chromium内核的浏览器。它在为未来可能安装的浏览器提前布局，确保一旦这些软件出现，Claude就能自动获得本地执行权限。

用Hanff的话说，这是"跨信任边界的强制捆绑"。一个应用在没有披露的情况下，修改了另一个厂商（Google、Microsoft等）的应用程序的行为，而且是针对用户可能永远不会安装的软件。

技术实现上，Claude Desktop基于Electron框架，而Electron捆绑了Chromium。Anthropic利用这个技术栈，把浏览器扩展的授权机制嵌进了系统层。

结果是一个运行在用户权限级别的二进制桥接程序，完全在浏览器沙盒之外运作，不触发任何权限提示窗口。

正方：效率优先的自动化设计

从产品逻辑看，Claude Desktop的做法有其合理性。

AI助手的核心价值在于"无缝"。用户希望Claude能自动操作浏览器、填写表单、抓取页面信息，而不必每次手动配置。预置Native Messaging清单，确实能降低后续使用的摩擦——当用户某天安装Chrome扩展时，不需要再跳回系统设置里点一堆确认。

这种"先铺路、后通车"的设计，在企业软件里不算罕见。很多协作工具会提前注册Office或Slack的协议处理程序，哪怕用户还没装这些软件。

Anthropic的立场可能是：这是技术基础设施的一部分，不是数据收集行为，因此不需要走完整的同意流程。

而且，清单文件本身不包含用户数据，只是一个"如果浏览器来了，按这个规则办事"的静态配置。

反方：程序正义的崩塌

Hanff的反驳很直接。他引用了欧盟《电子隐私指令》第5条第3款：服务提供商访问个人数据时，必须清晰说明数据访问请求并获得同意，除非访问对提供服务"严格必要"。

「这是一个黑暗模式。」Hanff在博客中写道，「在我看来，这直接违反了2002/58/EC号指令第5(3)条，以及大量计算机访问和滥用法律——规模足够大，涉及一家花了大量精力塑造'安全意识AI实验室'形象的厂商。」

关键争议在于"严格必要"的界定。预授权未来可能安装的浏览器扩展，算不算"必要"？

Hanff认为不算。用户没有安装浏览器扩展，也没有表达使用意图，Claude Desktop却替用户做了双向选择：既为当前不存在的软件写配置，又授权了用户明确回避的功能。

更深的风险在于权限链条。被预授权的扩展拥有"认证会话访问"能力，可以读取网页、填写表单、捕获屏幕。而桥接程序跑在沙盒外，意味着浏览器扩展的安全隔离被击穿了一层。

如果扩展被劫持或存在漏洞，攻击者获得的是用户级系统权限，而非受限的浏览器环境。

我的判断：便利的代价是信任的透支

这件事的核心矛盾不是技术对错，而是"谁有权替用户做决定"。

Anthropic选择了产品体验的最优解：零摩擦、全自动、未来兼容。但这条路径绕过了程序正义——知情、选择、控制，这三项现代隐私框架的基石被悄悄替换成了"我们帮你想好"。

更微妙的是动机与形象的落差。Anthropic一直在营销"安全优先"的差异化定位，Claude被包装成更可控、更透明的AI选项。但这次的实现方式，与Google或Meta被批评多年的"默认 opt-in"策略并无本质区别。

Hanff的"间谍软件"指控或许过重，但他的法律分析指向一个真问题：当AI公司为了"无缝体验"而模糊系统边界时，它们正在消耗用户对整个品类的信任储备。

对科技从业者来说，这件事的启示在于技术债的转移。Electron+Chromium的组合降低了开发成本，却把浏览器生态的复杂性导入了桌面应用。Native Messaging本是为"用户主动安装的扩展"设计的机制，被借用成"应用预置的后门"时，整个权限模型的假设就被破坏了。

如果Claude Desktop在首次启动时弹窗说明："我们将在您的系统中预置浏览器通信配置，以便未来扩展功能"，并提供明确的开关，争议会小得多。但产品团队显然判断，这个摩擦不值得。

这个判断本身，比技术实现更值得审视。

冷知识：Hanff发现这个文件时，原本在调试的是另一款完全不相关的应用。有时候，系统的脆弱性就是这样被意外照亮的——不是通过安全审计，而是通过一个工程师的偶然排查。