Kontrowersje wokół Claude Desktop: Czy Anthropic po cichu instaluje "spyware"?

Narzędzia i Recenzje
, ,
1

Firma Anthropic, twórcy cenionego modelu Claude, od dawna buduje swój wizerunek jako laboratorium sztucznej inteligencji, dla którego bezpieczeństwo i transparentność są absolutnym priorytetem (w opozycji np. do OpenAI). Jednak najnowsze ustalenia analityka prywatności, Alexandra Hanffa, rzucają na te deklaracje spory cień.

Gemini_Generated_Image_q0rntyq0rntyq0rn
Gemini_Generated_Image_q0rntyq0rntyq0rn2816×1536 1.24 MB

Podczas rutynowego debugowania własnego projektu na systemie macOS, Hanff odkrył w plikach swojej przeglądarki (Brave) plik o nazwie com.anthropic.claude_browser_extension.json. Problem w tym, że nigdy nie instalował żadnego rozszerzenia przeglądarkowego od Anthropic.

Czym jest znaleziony plik? Z technicznego punktu widzenia jest to manifest “Native Messaging”. W ekosystemie przeglądarek opartych na Chromium (takich jak Chrome, Edge, Brave, Arc) taki plik stanowi swego rodzaju “most”. Pozwala on rozszerzeniu w przeglądarce na wywołanie pliku wykonywalnego (binarki) znajdującego się bezpośrednio w systemie operacyjnym użytkownika.

Co kluczowe, takie wywołane programy działają poza bezpieczną piaskownicą (sandboxem) przeglądarki, posiadając pełne uprawnienia zalogowanego użytkownika systemu.

Jak plik trafił na komputer? Z dochodzenia Hanffa wynika jasno, że plik ten jest instalowany w tle, bez żadnego powiadomienia, podczas instalacji i uruchamiania oficjalnej aplikacji Claude Desktop (Claude.app) na system macOS. Aplikacja ta przy każdym uruchomieniu skanuje system i dopisuje swój manifest do folderów systemowych aż siedmiu różnych przeglądarek (Chrome, Edge, Brave, Arc, Chromium, Vivaldi, Opera), nawet jeśli użytkownik nie ma ich aktualnie zainstalowanych.

Jakie możliwości daje ten “most”?

Sam plik konfiguracyjny (manifest) w stanie spoczynku nie jest groźny – czeka na wywołanie przez jedno z trzech zdefiniowanych w nim, zaufanych rozszerzeń (posiadających konkretne ID).

Jednak gdy “most” zostanie aktywowany, otwiera on drogę do ogromnych możliwości, które Anthropic sam opisuje w swojej dokumentacji dla funkcji ułatwiających m.in. automatyzację testów. Narzędzie potrafi:

  • Dzielić stan logowania przeglądarki (czyli uzyskać dostęp np. do skrzynki mailowej lub konta bankowego jako zalogowany użytkownik).

  • Czytać strukturę DOM strony (widzi wszystkie teksty, w tym te wpisywane na żywo w formularzach).

  • Dokonywać zrzutów ekranu.

  • Automatyzować klikanie i wypełnianie formularzy.

Główne zarzuty wobec Anthropic (“Dark Patterns”)

Hanff punktuje szereg praktyk zastosowanych przez Anthropic, które w branży IT określa się mianem Dark Patterns (mrocznych wzorców projektowych):

  1. Brak pytania o zgodę (Opt-in): Użytkownik instalujący po prostu aplikację na komputer (Claude Desktop) nie jest informowany ani nie wyraża zgody na to, by ta sama aplikacja modyfikowała pliki konfiguracyjne przeglądarek internetowych.

  2. Trudność w usunięciu: Nawet jeśli świadomy użytkownik znajdzie i usunie plik konfiguracyjny z folderu swojej przeglądarki, aplikacja Claude Desktop przy kolejnym uruchomieniu zapisze go tam ponownie.

  3. Mylące nazewnictwo: Plik nosi nazwę “claude_browser_extension”, co sugeruje po prostu obsługę wtyczki, ukrywając fakt, że w rzeczywistości jest to potężny pomost dający AI uprawnienia do wychodzenia poza przeglądarkę i działania z poziomu systemu.

  4. Instalacja “na zapas”: Mosty są instalowane nawet dla przeglądarek, których Anthropic oficjalnie nie wspiera (np. Brave czy Arc), a także tworzone są dla nich puste foldery na wypadek, gdyby użytkownik zainstalował je w przyszłości.

Potencjalne wektory ataku

Chociaż sam mechanizm został prawdopodobnie stworzony w dobrej wierze (aby umożliwić przyszłe, płynne zintegrowanie agentów AI działających w systemie z przeglądarką), tworzy on poważne luki bezpieczeństwa:

  • Podatność na “Prompt Injection”: Anthropic oficjalnie przyznaje, że ich rozszerzenia są podatne na ataki typu prompt injection (przemycanie ukrytych komend do modelu AI). Jeśli napastnik przejąłby kontrolę nad modelem przez złośliwy prompt na stronie internetowej, a model miałby aktywny “most” do systemu operacyjnego, skutki mogłyby być katastrofalne.

  • Przejęcie łańcucha dostaw: Jeśli którekolwiek z preautoryzowanych rozszerzeń zostałoby przejęte (np. poprzez włam na konto dewelopera Anthropic w Chrome Web Store), złośliwa wtyczka od razu zyskałaby dostęp do wykonania kodu w systemie ofiary, bez pytania o dodatkowe zgody, ponieważ most był tam już preinstalowany.

:hammer_and_wrench: Jak sprawdzić, czy masz to u siebie? (Instrukcja dla macOS)

Jeśli używasz Maca i masz (lub miałeś) zainstalowaną aplikację Claude Desktop, możesz łatwo zweryfikować ustalenia z raportu. Wystarczy otworzyć systemowy Terminal i wkleić kilka komend:

1. Sprawdź, w których przeglądarkach Anthropic zainstalował swój “most”

Bash

find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension*"

Wynik: Zobaczysz listę ścieżek. Prawdopodobnie znajdziesz tam wpisy dla Chrome, Brave, Arc, Edge czy Opery, nawet jeśli używasz tylko jednej z nich.

2. Przeczytaj logi instalacyjne samego Claude’a

Bash

grep -E "Chrome Extension MCP|App is installed" ~/Library/Logs/Claude/main.log

Wynik: Aplikacja sama rejestruje w logach swoje działania. Zobaczysz linijki w stylu [Chrome Extension MCP] Installed native host manifest for... potwierdzające cichą instalację.

3. Sprawdź, czy aplikacja sama odtwarza pliki (dlaczego ręczne kasowanie nie działa)

Bash

stat -f "birth:%SB  mod:%Sm  %N" ~/Library/Application\ Support/*/NativeMessagingHosts/com.anthropic.claude_browser_extension.json

Wynik: Komenda pokaże datę utworzenia (birth) i ostatniej modyfikacji (mod) pliku. Zauważysz, że data modyfikacji jest bardzo świeża. Dzieje się tak, ponieważ Claude Desktop nadpisuje/odtwarza te pliki przy każdym uruchomieniu.

4. Zweryfikuj, czy plik wywoływany przez przeglądarkę należy do Anthropic

Bash

codesign -dvv /Applications/Claude.app/Contents/Helpers/chrome-native-host

Wynik: Potwierdzenie z systemu macOS, że podpięta pod “most” binarka posiada ważny certyfikat deweloperski wydany dla Anthropic PBC.

Konsekwencje prawne i wizerunkowe

Zgodnie z dyrektywą o prywatności (ePrivacy Directive), ukryta instalacja takich plików i preautoryzacja obcego oprogramowania bez wyraźnej zgody użytkownika stanowi naruszenie prawa.

To, czy ten incydent to po prostu niechlujstwo deweloperów (zostawienie w kodzie agresywnego skryptu), czy celowa taktyka, by w przyszłości łatwiej wdrażać asystentów AI, pozostaje pytaniem otwartym. Oczekuje się, że po publikacji raportu Anthropic szybko zaktualizuje swoją aplikację, usuwając ten mechanizm lub przynajmniej chowając go za wyraźnym zapytaniem o zgodę (Opt-in).

Dajcie znać, czy komendy wyrzuciły u Was pełną listę “zainfekowanych” przeglądarek!

Źródło - Anthropic secretly installs spyware when you install Claude Desktop — That Privacy Guy!