Anthropic обвиняют в скрытой установке шпионского ПО при инсталляции Claude Desktop: что известно и почему это угрожает безопасности пользователей
Приложение Claude Desktop от Anthropic автоматически устанавливает скрытый мост Native Messaging в браузерах пользователей без их согласия, что позволяет получать доступ к паролям, кредитным картам и личным сообщениям. Эксперты называют это нарушением ePrivacy Directive и угрозой.
- Исследователь Александр Ханфф обнаружил, что приложение Claude Desktop от Anthropic тайно устанавливает Native Messaging мост в браузерах пользователей без согласия
- Мост автоматически создается при установке приложения и восстанавливается при каждом запуске, даже если браузер не установлен на компьютере
- Функционал моста позволяет считывать пароли, номера кредитных карт и расшифрованные личные сообщения, обходя защиту HTTPS
- Эксперты считают, что это нарушает статью 5(3) ePrivacy Directive ЕС, требующую явного согласия пользователя перед сохранением информации
- Anthropic пока не прокомментировала инцидент, но исследователь планирует подать жалобу в регулирующие органы
Приложение Claude Desktop от компании Anthropic, одного из ведущих разработчиков ИИ-моделей, подозревается в скрытой установке шпионского ПО. Исследователь Александр Ханфф заявил, что приложение автоматически внедряет незадокументированный мост Native Messaging в браузерах пользователей macOS без их согласия.
Это происходит даже если пользователь никогда не устанавливал браузерные расширения Claude. Мост создается в системных папках браузеров (Chrome, Edge, Brave, Arc, Chromium, Vivaldi, Opera) и предоставляет Anthropic широкий доступ к данным. Согласно документации компании, функционал включает чтение DOM-дерева, автоматическое заполнение форм и использование текущих авторизованных сессий пользователя. На практике это означает, что мост способен считывать пароли, номера кредитных карт и расшифрованные личные сообщения, обходя защиту HTTPS.
Проблема усугубляется тем, что Claude Desktop автоматически восстанавливает мост при каждом запуске, даже после его удаления пользователем.
Это классифицируется как «темный паттерн» (dark pattern), который нарушает права пользователей на конфиденциальность. Эксперты отмечают, что такие действия могут нарушать статью 5(3) Директивы ЕС о конфиденциальности электронных коммуникаций (ePrivacy Directive), которая требует получения явного согласия пользователя перед сохранением информации на его устройстве. Некоторые специалисты считают, что проблема возникла не из-за злого умысла, а из-за инженерной небрежности.
Однако исследователь Ханфф настаивает на необходимости срочных мер. Он планирует подать официальную жалобу в регулирующие органы, если Anthropic не примет мер по устранению уязвимости.
На момент публикации компания не прокомментировала инцидент.
Случай с Anthropic — это не просто техническая ошибка, а серьезный удар по доверию к ИИ-разработчикам. Компании, работающие с пользовательскими данными, обязаны соблюдать максимальную прозрачность и приоритизировать безопасность. Если подозрения подтвердятся, это может стать прецедентом для ужесточения регулирования в сфере ИИ и защиты данных. Пользователи вправе требовать от разработчиков безоговорочной честности и контроля над своими личными данными.
Владимир Платонов
