LayerX Security выявила критическую уязвимость в Claude Desktop Extensions от Anthropic, позволяющую компрометировать систему через Google Календарь. Эксперты спорят об ответственности разработчиков и пользователей за безопасность ИИ-продуктов. — csoonline.com
В понедельник компания LayerX Security опубликовала отчет, в котором описала «критическую уязвимость нулевого клика RCE в расширениях Claude Desktop Extensions (DXT) от Anthropic, позволяющую злонамеренному приглашению в Google Календарь незаметно скомпрометировать всю систему». Аналитики, консультанты, руководители служб безопасности и даже представители Anthropic не стали оспаривать изложенные факты.
Однако это открытие вновь разгорело дебаты о том, является ли ответственностью поставщиков ИИ выпуск надежно защищенных продуктов, или же это задача CISOs — изменять настройки в соответствии с бизнес-средой.
«В отличие от традиционных браузерных расширений, Claude Desktop Extensions работают вне песочницы с полными системными привилегиями. В результате Claude может автономно связывать низкорисковые коннекторы, такие как Google Календарь, с высокорисковыми локальными исполнителями без ведома или согласия пользователя», — говорится в отчете. «В случае эксплуатации злоумышленником, даже безобидный запрос в сочетании с вредоносно составленным событием календаря достаточен для выполнения произвольного локального кода, что приводит к компрометации всей системы. Это создает системные нарушения границ доверия в рабочих процессах, управляемых LLM, что приводит к широкой, нерешенной поверхности атаки, делающей коннекторы MCP небезопасными для систем, чувствительных к безопасности. LayerX обратилась к Anthropic с нашими выводами, но компания решила не исправлять это на данный момент».
Рой Бен Альта, генеральный директор поставщика ИИ Oakie.ai и бывший директор по ИИ в Meta*, заявил, что проблема реальна, но она больше говорит о том, как Anthropic спроектировала свои системы и выбрала функционирование в качестве браузерного и десктопного расширения.
«Формулировка [в отчете] о том, что Anthropic «отказалась исправлять», упускает суть», — сказал он. «Нельзя исправить возможность автономных агентов связывать действия друг с другом. В этом их предназначение. Исправление заключается в надлежащем контроле развертывания, как и для любого корпоративного программного обеспечения с привилегированным доступом».
Проблема архитектуры
Он отметил, что проблема не уникальна для Anthropic; любой ИИ-агент, имеющий доступ к внешним данным и возможности локального выполнения, представляет собой потенциальный путь эскалации привилегий. «Такова архитектура, а не ошибка», — сказал он. «Anthropic следует улучшить границы разрешений и обработку запросов. Предприятия должны контролировать, какие расширения развернуты, и отслеживать их использование».
Стивен Эрик Фишер, независимый консультант по кибербезопасности и рискам, занимавший должность директора по кибербезопасности, рискам и соответствию в Walmart до августа 2025 года, согласился, что проблема заключается в том, как Anthropic DXT был спроектирован для работы, а не в технической ошибке.
«Слой управления привилегиями и доступом — сложная проблема на уровне отдельного рабочего стола, не говоря уже о попытках управлять этим на корпоративном уровне. Десктопные ИИ-расширения и браузеры не управляют идентификацией и привилегиями так, как зрелая операционная система», — сказал Фишер. «ИТ-отделы и службы кибербезопасности не могут напрямую устранить отсутствие четко выраженных возможностей в инструментальных системах. У них есть опыт и наборы инструментов для управления некоторыми границами в десктопной среде или, в некоторых случаях, поведением приложений. Но это похоже на попытку натянуть канаты вокруг борцовского ринга, что не управляет тем, что происходит на ринге, или всеми связанными рисками».
Исследователи из LayerX Security заявили, что, хотя верно, что эти проблемы с разрешениями/настройками в той или иной степени существуют у всех поставщиков ИИ, подход Anthropic с DXT значительно усугубляет проблему безопасности.
Различия «разительны»
Главный исследователь безопасности ИИ в LayerX Security Рой Паз сказал, что он протестировал DXT против Comet от Perplexity, Atlas от OpenAI и CoPilot от Microsoft, и различия оказались разительными.
«Когда вы просите Copilot, Atlas или Perplexity использовать инструмент, они используют этот инструмент для вас. Но Claude DXT позволяет инструментам взаимодействовать с другими инструментами, например, из Google Календаря с Desktop Commander, и может делать это без консультации с пользователем для выполнения задачи», — сказал Паз. С другими поставщиками, отметил он, «если агент хочет сделать что-то, выходящее за рамки явной инструкции пользователя, он попросит разрешения, но с Claude DXT пользователь не консультируется».
Руководитель отдела продуктовой стратегии LayerX Эяль Арази также подчеркнул различные архитектурные решения и настройки Anthropic.
Большинство поставщиков ИИ-моделей в настоящее время разрабатывают агентные продукты на основе браузерной платформы — высокозащищенной среды, сильно изолированной от базовой операционной системы, — указал он. Это означает, что, хотя агентные ИИ-браузеры имеют свои собственные уязвимости, компрометация браузера не дает доступа к базовой файловой системе и не позволяет напрямую выполнять удаленный код на базовой ОС.
«Claude, однако, поступает иначе», — сказал Арази. «Это браузерное расширение, в настоящее время только для Chrome, с сопутствующим десктопным агентом на базе MCP. Хотя некоторые браузерные решения, такие как Dia, Microsoft и Google, еще не полностью агентные, решение Claude *действительно* является по-настоящему агентным». В отличие от браузеров, оно *имеет* прямой доступ к файловой системе, поэтому сочетание полных агентных возможностей и прямого доступа к файловой системе создает опасную комбинацию, отметил он. «Именно поэтому это проблема конкретной реализации Anthropic, которой нет у других агентных браузеров».
Ответственность на пользователях, говорит Anthropic
Anthropic подтвердила большую часть отчета, но заявила, что ответственность лежит на пользователях — использовать продукты правильно, исходя из своих условий.
«Интеграция Claude Desktop с MCP — это локальный инструмент разработки, где пользователи явно настраивают и предоставляют разрешения серверам, которые они выбирают для запуска», — сказал представитель Anthropic Дженнифер Мартинес. «Чтобы было ясно, описанная в публикации ситуация требует, чтобы целевой пользователь намеренно установил эти инструменты и предоставил разрешение на их запуск без запросов. Мы рекомендуем пользователям проявлять такую же осторожность при установке серверов MCP, как и при установке [другого] стороннего программного обеспечения».
Мартинес добавила, что пользователи явно настраивают и предоставляют разрешения для серверов MCP, которые они выбирают для локального запуска, и эти серверы имеют доступ к ресурсам на основе разрешений пользователя. «Поскольку пользователи сохраняют полный контроль над тем, какие серверы MCP они включают и какие разрешения имеют эти серверы, граница безопасности определяется выбором конфигурации пользователя и существующими средствами безопасности его системы», — сказала она. «Внедрение вредоносных запросов — это проблема, к которой восприимчивы все LLM, и Anthropic, наряду со всей индустрией ИИ, работает над борьбой с ними».
Вины хватает на всех
Вину за уязвимость нельзя возлагать на один источник, сказал Фишер; вины хватает на всех, включая медленный темп развития отраслевых стандартов.
«Anthropic или любая ИИ-компания не может исправить то, что плохо определено. Без общего стандарта они в лучшем случае могли бы создать индивидуальную реализацию прав в стиле « whack-a-mole», — указал он. «Темпы инноваций, на мой взгляд, намного опережают способность определить общий стандарт безопасности для реализации в отношении результатов. Люди работают над этой проблемой [в том смысле, что] существует группа, работающая над стандартом безопасности MCP».
Но это незавершенная работа. «Прямо сейчас», — сказал он, «это подход «быстро создавать и внедрять инновации», который в значительной степени опирается на существующие базовые средства контроля безопасности. Существующие системы просто не справляются с тем, что потребуется для определения того, что нужно или разрешено в пределах досягаемости ИИ».
Однако Фрэнк Диксон, вице-президент группы по безопасности и доверию в IDC, возразил против предположения, что это проблема, общая для всех автономных агентов.
«Это не просто данность, присущая автономным агентам. Это факт того, что новая компания расширяет свое предложение на незнакомую территорию, последствия которой они не понимают», — сказал Диксон. «Эта ошибка больше связана с усилением необходимости защиты и контроля браузера, чем с выпуском Anthropic небезопасного браузера».
Стартапы-разработчики программного обеспечения любят быстро терпеть неудачи, отметил он, однако именно на них ложится основная тяжесть всех провалов. «Если ошибется не Anthropic, ошибется кто-то другой», — сказал он. «Anthropic не получает индульгенции, но организации должны ожидать, что стартапы будут совершать подобные ошибки, и принимать меры для контроля и защиты своих браузеров».
Непростое решение
Паз из LayerX сказал, что этой проблеме будет непросто найти решение для Anthropic, поскольку она глубоко укоренилась в архитектурных решениях. «Это не исправление на полчаса. Это исправление на недели. Оно заставит их провести полный редизайн».
Рок Ламброс, генеральный директор фирмы безопасности RockCyber, добавил, что он не считает проблему Anthropic уязвимостью нулевого дня, но это все равно проблема.
«Это предсказуемый результат того, что ИИ-агенту позволено связывать безобидный источник данных с привилегированным исполнителем кода без подтверждающего шлюза. Anthropic уже создала песочницу для Claude Code, поэтому защита «так работают агенты» рухнула, когда они выпустили Desktop Extensions без нее», — сказал Ламброс. «Каждое предприятие, развертывающее агентов прямо сейчас, должно ответить на вопрос: «Ограничили ли мы привилегии связывания инструментов перед активацией, или мы вручили стажеру мастер-ключ и ушли на обед?»»
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman