Anthropic Claude Desktop被曝静默装桥接文件 存间谍软件风险

2026年4月23日，网络安全专家亚历山大·汉夫曝光Anthropic旗下Claude Desktop桌面应用存在重大安全隐患：该应用会在用户未知情同意的前提下，向Chrome、Edge、Brave等7款Chromium内核浏览器静默安装Native Messaging桥接文件，即便用户未安装对应浏览器也会预先创建配置目录，后续扩展可自动获取权限，具备潜在间谍软件能力。

在个人最新发布的安全分析博客中，亚历山大·汉夫晒出了多轮实测的系统文件路径截图：在完成Claude Desktop的常规安装流程后仅数十秒，系统盘用户目录下就自动生成了对应7款Chromium内核浏览器的配置文件夹，每个文件夹下都写入了com.anthropic.claudebrowserextension.json格式的桥接文件，全程没有任何弹窗提示用户进行授权确认。

汉夫的测试进一步显示，这种静默写入行为完全不受用户浏览器安装情况影响：即便是设备上从未安装过某款Chromium内核浏览器，Claude Desktop也会主动创建对应的浏览器配置目录，提前把桥接文件存入其中。这就意味着，只要用户后续安装了对应浏览器，下载Claude的官方扩展后无需再次申请权限，就能直接调用本地桌面端的能力，整个过程完全跳过了用户知情环节。

Native Messaging是Chromium内核浏览器提供的标准接口，正常用于实现浏览器扩展和本地应用的合法通信，比如实现网页内容一键导入大模型、对话记录跨端同步等功能，正规安装流程需要用户主动点击授权确认。