Claude Desktop Extensions 驚傳零點擊漏洞，Anthropic 拒絕修補

瀏覽器安全業者 LayerX 的研究人員發現，一個 Google 日曆事件就能無聲無息地入侵已安裝 Claude Desktop Extensions 的系統。

LayerX 在 2 月 9 日發布的報告中揭露，這項重大漏洞影響 50 個 Claude Desktop Extensions (DXT)，可能導致超過 1 萬名活躍用戶面臨風險。攻擊者一旦成功利用此漏洞，就能在受害者系統上執行遠端程式碼 ，而且完全不需要受害者點擊任何東西。

LayerX 首席資安研究員 Roy Paz 表示，他們已向開發 Claude 大型語言模型(LLM)的 Anthropic 通報此漏洞，但 Anthropic 決定暫不修補。此漏洞獲得最高嚴重性評級，CVSS 分數為滿分 10.0。

Claude DXT擁有完整系統權限

Claude Desktop Extensions 與傳統瀏覽器擴充套件有根本性的差異。雖然兩者都提供一鍵安裝，但 Chrome 擴充套件只是由 .crx 套件組成的簡單瀏覽器附加元件。相較之下，Claude DXT 是透過 Anthropic 擴充套件市集發布的模型情境協定(Model Context Protocol，MCP)伺服器。每個 DXT 都包含一個 .mcpb 包(類似 .zip 壓縮檔)，內含 MCP 伺服器的實作程式碼以及定義擴充功能的清單檔。

兩者最大的差異在於授權範圍。Chrome 擴充套件在嚴格的沙箱環境中運作，無法直接存取系統；但 Claude DXT 執行時沒有沙箱保護，擁有主機系統的完整權限。因此，Claude DXT 可以執行敏感命令，包括讀取任意檔案、執行系統指令、存取儲存的憑證，以及修改作業系統設定。

漏洞源於工具鏈整合缺乏安全邊界

這個漏洞源於 MCP 系統在自動串連不同工具以完成使用者請求時，缺乏適當的安全邊界控管。MCP 允許 Claude 根據模糊的提示，動態選擇並組合外部連接器，例如用於讀取事件的 Google 日曆，以及用於執行程式碼的本機執行器。

研究人員測試時，只告訴 Claude「檢查我最近的活動並處理它」，AI 助理就將「處理它」解讀為執行事件中嵌入的任意指令。攻擊者可以利用這種行為，建立看似無害的日曆事件，並在其中嵌入惡意指令。Claude DXT 會執行這些指令，最終在受害者系統上實現完整的遠端程式碼執行。

由於缺乏防護措施，MCP 將來自低風險來源(如日曆)的資料視為高風險操作(如執行本機程式碼)的可信輸入，形成意外的攻擊途徑。

Anthropic：此漏洞不在威脅模型範圍內

面對 LayerX 的通報，Anthropic 表示此漏洞「不在目前的威脅模型範圍內」，因此拒絕採取行動。

Anthropic 解釋，Claude Desktop 的 MCP 整合是設計為本機開發工具，在使用者自己的環境中運作。使用者會明確設定並授予權限給他們選擇在本機執行的 MCP 伺服器，而這些伺服器則根據使用者的權限存取資源。

Anthropic 發言人補充說明，報告中描述的情況需要目標使用者刻意安裝這些工具，並授予無需提示即可執行的權限。他們建議使用者在安裝 MCP 伺服器時，應採取與安裝第三方軟體相同的謹慎態度。

這類漏洞凸顯了 AI 的經典兩難困境：要發揮 AI 的生產力優勢，就必須讓這些工具深入存取敏感資料；但一旦資料遭到入侵，AI 和模型供應商卻不認為自己對使用者的安全負有責任。這突顯出建立 AI「共同責任」模式的必要性，必須明確界定在 AI 工具的各個安全層級中，誰該負起什麼責任。

本文轉載自 InfosecurityMagazine。