用户警惕！Anthropic Claude Desktop 被指悄悄安装间谍软件

发布时间：2026-04-23 14:19:28 | 责任编辑：吴昊 | 浏览量：1 次

网络安全专家亚历山大・汉夫（Alexander Hanff）在个人博客上曝光了 Anthropic 公司的 Claude Desktop 应用存在安全隐患。他指出，该应用在用户不知情的情况下，向 Chrome、Brave、Edge 等七款 Chromium 浏览器 “静默安装” 了 Native Messaging 桥接文件，具有潜在的间谍软件能力。
根据汉夫的调查，当用户安装 Claude Desktop 后，该应用会自动将名为 com.anthropic.claude_browser_extension.json 的桥接文件写入多款浏览器的配置目录，甚至在用户未安装某些浏览器的情况下也会创建相关目录。这种做法意味着，如果用户未来安装了这些浏览器，Claude 扩展将无需再次征求用户同意便可获得相关权限。
该桥接文件的主要功能是允许特定的浏览器扩展调用本地可执行程序。根据 Anthropic 的官方文档，该组件具备强大的浏览器自动化能力，能进行诸如打开新标签页、共享登录状态、读取 DOM 内容、填充表单以及录制屏幕等操作。这使得一旦用户安装了相应的扩展，Claude 便能以用户身份访问敏感网站，包括银行和税务等，并且可在浏览器沙箱之外运行，具有用户级权限。
汉夫还指出，Anthropic 官方数据显示，其 Chrome 扩展在遭遇恶意攻击时，提示词注入的成功率约为 11.2%，这为攻击者提供了通过受感染扩展或恶意网页接管用户浏览器会话的风险。汉夫认为，这种未经授权的行为触犯了多项安全原则，包括强制捆绑和信任边界的突破，并且用户无法通过常规界面发现或管理该组件。
汉夫呼吁，Anthropic 应立即移除该组件，或在明确告知用户并获得授权后再进行安装。这一事件提醒用户在安装软件时要提高警惕，确保自身的隐私和数据安全。
划重点：
🌐 汉夫指出 Claude Desktop 应用未经用户同意，向多个浏览器安装桥接文件。
🔍 安装的桥接文件可使扩展程序具备强大的浏览器自动化能力，存在安全隐患。
⚠️ 汉夫呼吁 Anthropic 应移除该组件，或在获得用户授权后再进行安装。