Rejtett kapcsolat a böngésző és Claude között
A gyanús fájl az alábbi helyen vált láthatóvá a MacBookomon:
~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
Ez egy Native Messaging-manifeszt, amely lehetővé teszi, hogy egy böngészőbővítmény külső programot indítson el a felhasználó nevében, a rendszer jogosultságaival. Amint egy megfelelő azonosítójú böngészőbővítmény kapcsolatot próbál létesíteni, a Brave böngésző mindenféle külön engedély vagy kérdés nélkül futtatja a Claude.app-hoz tartozó végrehajtható állományt. Részletesebben kifejtve: a felhasználó gyakorlatilag a háttérben, észrevétlenül ad lehetőséget egy kiterjesztés számára, hogy teljes hozzáférést kapjon a böngészőjéhez.
Noha én sosem telepítettem Claude böngészőbővítményt (tudatosan óvva a magánszférámat és a biztonságomat), a Claude Desktop Mac-alkalmazást igen, és ez automatikusan létrehozta ezt a hátsó kaput. Tehát a Claude Desktop telepítésével az Anthropic átlépte a határt, és a tudtomon kívül belenyúlt egy másik, független fejlesztőcég alkalmazásába.
Mit tud ez a natív híd?
Nyugalmi állapotban a híd nem fut, kizárólag akkor aktiválódik, ha egy megfelelő azonosítójú kiterjesztés hívja meg. Tehát amíg ilyen nincs telepítve, a bináris nem aktív. Az Anthropic azzal érvel, hogy ez így biztonságos, de a valóságban a telepítéstől számítva a felhasználó bármiféle tudomása nélkül készen áll a beavatkozásra.
Ha a böngészőbővítmény aktív, a híd révén a Claude alkalmazás teljes hozzáférést szerez a felhasználó böngészési munkamenetéhez. Többek közt új lapokat nyithat, átveheti a belépett böngészőülést, olvashat bejegyzéseket, űrlapadatokat másolhat, konzolhibákat vizsgálhat, automatizálhat feladatokat, vagy akár GIF-fel rögzítheti a képernyőn lejátszódó interakciókat. Ha például épp nyitva van a banki oldalad, a híd lehetőséget ad a bejelentkezett állapotának olvasására és vezérlésére. Ugyanez igaz az adóportálra, ügyfél-Slackre vagy adminfelületre is.
A natív híd az operációs rendszer szintjén kommunikál, macOS-en nem látható semmilyen szokásos jogosultság- vagy folyamatkezelőben, így nehéz észlelni vagy szabályozni. A Claude telepítésével az Anthropic előre telepíti ezt a veszélyes hátsó kaput, anélkül hogy bármilyen tájékoztatást adna, vagy lehetőséget biztosítana a letiltására.
Átverős telepítés: a fájl minden böngészőhöz bekerül
Részletesebben kifejtve, egy audit során hét különböző böngészőhöz találtam meg ezt a manifesztfájlt: Arc, Brave, Chrome, Chromium, Microsoft Edge, Opera, Vivaldi. Ezekből a gépen csupán a Brave és a Chrome volt telepítve, a többinél csak az alkalmazás könyvtára jött létre. Az összes fájl azonos tartalmú, megegyező MD5-hashsel.
A módosítási idők szerint hónapokkal az első telepítés után is átírja a Claude Desktop az állományokat, minden egyes indításkor frissíti vagy újralétrehozza őket. Vagyis nem elég törölni: amíg a Claude Desktop jelen van, újraírja őket.
Nyomok a naplófájlban: mindent rögzít magának
A Claude Desktop naplófájljában (~/Library/Logs/Claude/main.log) egyértelműen rögzíti, hogyan telepíti a natív host-manfeszteket minden Chromium-alapú böngészőhöz. Pontos dátummal és a belső Chrome Extension MCP névvel ellátva. Az is látható, hogy a folyamat megismétlődik – több tucat telepítési esemény sorakozik a logban.
A segédbinárist az Anthropic fejlesztői igazolványa tanúsítja, az Apple hitelesítési (notarization) rendszerével együtt. A segédprogram külön nem kapott hitelesítőjegyet, de az egész telepítőcsomag igen.
A fájlok metaadatai szerint kizárólag maga a Claude Desktop írja be ezeket a konfigurációkat, vagyis nincs közbeiktatott, külső alkalmazás.
Az Anthropic terjeszkedése túlmegy minden határon
Noha a Claude Code dokumentációja szerint hivatalosan csak a Chrome és az Edge támogatott, valójában a híd minden Chromium-rokon böngészőbe (Brave, Arc, Vivaldi, Opera stb.) beépíti magát.
Sötét mintázat ez, minden szempontból:
– A felhasználónak nincs választása, a telepítés lappangva, előzetes engedélykérés nélkül történik.
– A konfiguráció eltávolítása rendkívül bonyolult, minden indításnál újra létrejön, csak a Claude Desktop eltávolítása segíthet.
– Megsérti a szoftveres bizalmi határokat: egy program nem írhatna egy másik alkalmazás könyvtárába ennyire rejtve.
– A funkció lehetővé teszi, hogy egyetlen utasításbefecskendezéses (prompt injection) támadás elég legyen a teljes böngésző feletti uralom átvételéhez. Az Anthropic nyilvános adatai szerint 25%-os sikerrátával lehet kompromittálni a rendszert.
Részletesebben kifejtve: mindez súlyos adatvédelmi és jogi aggályokat vet fel, különösen egy olyan cégnél, amely nyíltan a biztonságot hirdeti elsődleges értékként. Az Anthropic ezzel nemcsak a saját felhasználói, de az iparági normák szerint is súlyosan megsérti a bizalmat.
