У Claude Desktop для macOS в отчете по кибербезопасности, опубликованном исследователем в области защиты конфиденциальности Александром Ханффом 18 апреля 2026 года обнаружили спорное поведение.
Приложение без согласия пользователя создаёт Native Messaging-манифест com.anthropic.claude_browser_extension.json для нескольких Chromium-браузеров. Этот файл заранее разрешает определённым расширениям Claude обращаться к локальному исполняемому файлу внутри приложения.
Native Messaging — штатный механизм Chromium. Его используют, например, менеджеры паролей и десктопные клиенты, которым нужно связать расширение браузера с локальным приложением. Проблема здесь не в самой технологии, а в том, как она включалась: без явного запроса, с созданием конфигураций сразу для нескольких браузеров и даже для тех, которых на компьютере пользователя могло не быть. CyberPress и The Register пишут, что речь шла о Chrome, Brave, Microsoft Edge, Chromium, Arc, Vivaldi и Opera.
Файл манифеста указывает браузеру, каким расширениям разрешено обращаться к локальному бинарнику chrome-native-host в составе Claude Desktop. Такой мост работает уже вне браузерной песочницы и запускается с правами пользователя. Это не означает автоматический взлом системы, но расширяет поверхность атаки: браузерное расширение получает канал к локальному приложению, а значит может быть полезной точкой для злоумышленника при компрометации расширения, ошибке в логике доступа или успешной prompt injection-атаке.
Отдельно неприятна стойкость такого поведения. CyberPress пишет, что манифесты пересоздавались при запуске Claude Desktop, поэтому ручное удаление файла не решало проблему надолго. Malwarebytes отдельно отмечает, что публичного опровержения Anthropic на момент публикации не последовало.
Риск усиливается из-за природы браузерных ИИ-агентов. Anthropic ещё в 2025 году, когда запускала Claude for Chrome, сама писала о промпт инъекции как о ключевой угрозе для ИИ, который видит страницы, кликает, заполняет формы и работает с веб-сервисами. Компания тогда сообщала, что в тестах снизила долю успешных атак с 23,6% до 11,2%, но не свела её к нулю.
Доказательств массового сбора данных через этот механизм в публикациях нет. Вопрос в том, может ли приложение без понятного согласия пользователя заранее прописывать мосты в браузеры и открывать канал между расширением и локальной системой. Для корпоративных Mac это уже зона аудита, потому что такие интеграции влияют на модель доверия браузера и контроль над рабочими сессиями.
Native Messaging сам по себе не вредоносен. Но в нём присутствует тихая предварительная авторизация и отсутствие прозрачного управления. Для ИБ-команд это повод проверить Mac с Claude Desktop, найти com.anthropic.claude_browser_extension.json, оценить список разрешённых extension ID и решить, нужна ли такая интеграция в рабочей среде.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
