2026年4月23日,网络安全专家亚历山大·汉夫曝光Anthropic旗下Claude Desktop桌面应用存在重大安全隐患:该应用会在用户未知情同意的前提下,向Chrome、Edge、Brave等7款Chromium内核浏览器静默安装Native Messaging桥接文件,即便用户未安装对应浏览器也会预先创建配置目录,后续扩展可自动获取权限,具备潜在间谍软件能力。
在个人最新发布的安全分析博客中,亚历山大·汉夫晒出了多轮实测的系统文件路径截图:在完成Claude Desktop的常规安装流程后仅数十秒,系统盘用户目录下就自动生成了对应7款Chromium内核浏览器的配置文件夹,每个文件夹下都写入了com.anthropic.claudebrowserextension.json格式的桥接文件,全程没有任何弹窗提示用户进行授权确认。
汉夫的测试进一步显示,这种静默写入行为完全不受用户浏览器安装情况影响:即便是设备上从未安装过某款Chromium内核浏览器,Claude Desktop也会主动创建对应的浏览器配置目录,提前把桥接文件存入其中。这就意味着,只要用户后续安装了对应浏览器,下载Claude的官方扩展后无需再次申请权限,就能直接调用本地桌面端的能力,整个过程完全跳过了用户知情环节。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录