Halk telepítés, rejtett engedélyek
A biztonsági szakértők szerint ez a gyakorlat komoly adatvédelmi problémákat vet fel, különösen az Európai Unióban érvényes jogszabályok fényében. Az ePrivacy-irányelv 5. cikkének (3) bekezdése például világosan kimondja: minden adatkezelési művelethez egyértelmű tájékoztatásra és hozzájárulásra van szükség, kivéve, ha ez szigorúan szükséges a szolgáltatáshoz. Az Anthropic viszont ezt az elvet figyelmen kívül hagyta: a Claude Desktop egy „Native Messaging” manifesztfájlt helyez el a rendszerben, amely engedélyezi, hogy a kapcsolódó böngészőbővítmények egy különálló bináris állománnyal kommunikáljanak, automatikusan, a felhasználó tudta és beleegyezése nélkül.
Kockázatos működés, nehezen eltávolítható elemek
A böngészőbővítmények általában széles körű jogosultságokat kérnek, így biztonsági szempontból különösen érzékenyek. A Claude for Chrome például olvasni tud weboldalakat, űrlapokat tölthet ki, vagy a képernyőt is rögzítheti. Ennél is problémásabb, hogy a kommunikáció a böngésző homokozóján kívül történik, közvetlenül a felhasználói jogosultsági szinten, mindenféle figyelmeztetés nélkül. Erre egy speciális engedélyező híd szolgál, amely a rendszer mélyebb rétegeibe települ, és nehezen lehet eltávolítani.
Különutas vélemények, közös aggodalom
Bár egyes szakértők – például Noah M. Kenney – vitatják, hogy szigorúan véve kémprogramról lenne szó, abban mindenki egyetért: ez az integráció jelentős megtévesztési potenciállal bír. Kenney szerint ugyan hagyományos adatlopásról nem beszélhetünk, viszont a program kész, előengedélyezett „hídként” szolgál, amelyre semmilyen tájékoztatást vagy könnyű eltávolítási lehetőséget nem kínál a fejlesztő.
Az is problémát jelent, hogy a manifesztfájlok több különböző böngésző számára is automatikusan beállításra kerülnek, még akkor is, ha a felhasználó nem is használja az adott böngészőt. Mindez jelentősen növeli a potenciális támadási felületet, hiszen egy sikeres támadás során a hackerek a böngészőbővítményen keresztül elérhetik a natív, felhasználói szintű binárist is.
Gyors szabályozói reakció küszöbén
A bizalmi határ átlépése – azaz az, hogy egy asztali alkalmazás más cégek szoftvereit is csendben módosítja – különösen érzékenyen érintheti az európai szabályozókat. Az EU elvárása szerint minden integrációnak láthatónak, felhasználó által választottnak és visszavonhatónak kell lennie. Az ilyen rejtett telepítések viszont pontosan azok a mintázatok, amelyeket egyre szigorúbban szankcionálnak. Nem ez az első eset, hogy a felhasználói beleegyezés tisztasága miatt aggódnak egy MI-szolgáltató szoftverével kapcsolatban – de most a helyzet egy csapásra megváltozott: valószínű, hogy a hatóságok és a felhasználók bizalma is komolyan megrendül.
Reputációs kockázat és a felhasználói bizalom ára
Az Anthropic hallgat az ügyről, a kritikusok azonban úgy látják, hogy a cég veszélybe sodorta a saját jó hírét és a felhasználók bizalmát. Hiába hangsúlyozzák, hogy a biztonság és adatvédelem mindennél fontosabb, a mostani csendes változtatások láthatóan megingatták ezt az imázst, és egy újabb, komoly figyelmeztetést jelenthetnek az MI-fejlesztők számára. Amíg a vállalat nem teszi egyértelművé és visszavonhatóvá az ilyen integrációkat, addig az európai felhasználók (és a szabályozók) továbbra is gyanakvással fogadják majd az Anthropic törekvéseit.
