Установка Claude Desktop от Anthropic и предварительная авторизация расширений браузера без согласия выглядят сомнительно с точки зрения законодательства ЕС об электронной конфиденциальности. — theregister.com
Одно приложение не должно изменять другое приложение без запроса и получения вашего явного согласия. Тем не менее, Claude Desktop от Anthropic для macOS устанавливает файлы, которые затрагивают приложения других поставщиков без уведомления, даже до того, как эти приложения были установлены, и авторизует расширения браузера без согласия.
Александр Ханфф, консультант по вопросам конфиденциальности и периодический автор The Register, утверждает, что это делает Claude Desktop «шпионским ПО» и представляет собой нарушение европейского законодательства о конфиденциальности.
«Я хочу быть откровенным», — написал Ханфф в посте в блоге на выходных. «Это темный паттерн. Это также, по моему профессиональному мнению, прямое нарушение статьи 5(3) Директивы 2002/58/EC (Директива об электронной конфиденциальности), а также множества законов о доступе и неправомерном использовании компьютеров (обычно уголовного права) в масштабах, достаточных для того, чтобы иметь значение, в случае с поставщиком, который приложил значительные усилия, чтобы его воспринимали как лабораторию ИИ, заботящуюся о безопасности».
Статья 5(3) требует, чтобы поставщики услуг, запрашивающие доступ к данным пользователя, предоставляли четкие сведения о запросе на доступ к данным и получали согласие, если только доступ не является строго необходимым для предоставления услуги.
Ханфф объясняет, что обнаружил установку файла без уведомления, пытаясь отладить другое приложение, которое использовало Native Messaging (Нативное взаимодействие) — API для связи между Chrome и другими приложениями. Claude Desktop основан на кроссплатформенном фреймворке Electron, который, в свою очередь, опирается на скомпилированную версию Chromium.
Файл, который установил Claude Desktop, был:
com.anthropic.claude_browser_extension.json
Это файл манифеста Native Messaging, который вызывается, когда браузеры на основе Chromium хотят запустить локальный исполняемый файл. Файл предварительно авторизует три различных идентификатора расширений Chrome (например, расширение Claude в Chrome), чтобы связанные браузеры могли запускать бинарный файл, указанный в файле манифеста.
По сути, Claude Desktop настраивает способность своей модели ИИ получать доступ к различным браузерам для автоматической работы. И делает это для браузеров, еще не установленных на устройстве пользователя, чтобы эти браузеры предоставили доступ Claude, если они будут установлены в будущем.
Но Ханфф утверждает, что никогда не устанавливал никаких расширений браузера Anthropic из соображений конфиденциальности и безопасности. Claude Desktop сделал это за него, без уведомления или разрешения.
Расширения браузера усугубляют проблемы безопасности и конфиденциальности, поскольку они часто запрашивают избыточно широкие разрешения. Ханфф отмечает, что Claude в Chrome имеет аутентифицированный доступ к сеансу и может читать веб-страницы, заполнять формы и захватывать экран. Более того, по его словам, бинарное связующее приложение работает за пределами «песочницы» браузера на уровне привилегий пользователя, не отображая никаких запросов на разрешение.
Подход Anthropic имеет множество проблем, по мнению Ханффа. Это равносильно принудительной комплектации через границы доверия путем записи конфигурационных файлов для браузеров других поставщиков. По умолчанию это невидимо, без возможности явного согласия (opt-in). Это трудно удалить. Это предварительно авторизует расширения браузера, которые еще не установлены. Имя его файла не разъясняет объем разрешаемых действий. И он предварительно авторизует не установленные браузеры на использование бинарного файла Native Messaging, среди прочих проблем.
Ханфф говорит: «Собственные данные о безопасности Anthropic показывают, что Claude для Chrome уязвим для инъекций промптов с уровнем успеха 23,6 процента без смягчающих мер и 11,2 процента с их текущими мерами. … При предварительной установке связующего приложения на ноутбук пользователя успешная инъекция промпта против Claude для Chrome имеет путь через расширение, через связующее приложение к вспомогательному бинарному файлу, работающему за пределами «песочницы» браузера на уровне привилегий пользователя».
Anthropic не ответила на запрос о комментариях.
Мы отмечаем, что на хосте нативного взаимодействия Claude Desktop остается неисправленный баг, который был автоматически закрыт 28 февраля ботом GitHub Actions. Проблема в том, что регистрации Claude Code и Claude Desktop native messaging host конфликтуют друг с другом, из-за чего соответствующее расширение Chrome не работает с Claude Code.
Ноа М. Кенни, основатель и главный консультант консалтинговой фирмы Digital 520, не согласен с использованием Ханффом термина «шпионское ПО», но говорит, что его выводы, похоже, подтверждают его юридические рассуждения.
«Технические утверждения здесь в значительной степени проверяемы и, как описано, воспроизводимы», — сказал Кенни в электронном письме The Register. «Независимые рецензенты могут подтвердить, что идентичные манифесты Native Messaging записываются в нескольких путях браузеров на основе Chromium, что активность на уровне ОС приписывается настольному приложению и что события установки регистрируются в собственных логах приложения. Если эти артефакты верны, основное поведение трудно оспорить: настольное приложение регистрирует хост Native Messaging в нескольких средах браузера, включая те, которые пользователь активно не выбирал для интеграции, и сохраняет эту регистрацию постоянно».
С оговоркой, что он не юрист, Кенни сказал, что юридическая формулировка более сложна.
«Статья 5(3) Директивы об электронной конфиденциальности явно применяется к хранению информации на устройстве пользователя, поэтому акт записи этих манифестов подпадает под сферу действия. Ключевой вопрос заключается в том, является ли это действие «строго необходимым» для услуги, которую пользователь фактически запросил.
«Поставщики будут утверждать, что это часть единого продукта, но регуляторы, особенно в Европе, склонны толковать «строго необходимо» узко. Молчаливая установка межприложенческих интеграций, особенно в браузеры, на которые пользователь не дал явного согласия, вероятно, не подпадает под это исключение, что несет в себе обоснованный регуляторный риск».
Кенни сказал, что он возражает против термина «шпионское ПО», потому что он традиционно подразумевает активную и скрытую эксфильтрацию данных.
«То, что описано здесь, отличается», — сказал он. «Это предварительно размещенный интеграционный уровень, который остается бездействующим до тех пор, пока не будет запущен расширением браузера, что является важным различием. Тем не менее, риск все еще реален, поскольку это создает постоянный, предварительно авторизованный мост от расширений браузера к локальному исполняемому файлу, работающему за пределами «песочницы» браузера, установленному без явного осведомления пользователя и устойчивому к удалению. С точки зрения безопасности это существенно расширяет поверхность атаки».
Кенни согласен с тем, что способ, которым Anthropic разработала свое программное обеспечение в данном случае, нарушает широко понятую границу доверия.
«Пользователи не ожидают, что настольное приложение будет молча изменять другие приложения, особенно между разными поставщиками», — сказал он. «Европейские регуляторы, в частности, ожидают явного согласия (opt-in), установки, ограниченной только выбранными пользователем интеграциями, и четких постоянных элементов управления с реальной отменой. Эта реализация не соответствует этому базовому уровню. Европейское правоприменение движется в сторону демонстративного, видимого пользователю контроля, а не подразумеваемого или отложенного согласия. Молчаливая системная модификация через границы приложений — это именно тот тип паттерна, на котором регуляторы все больше сосредотачиваются».
Ханфф сообщил The Register, что Anthropic еще не ответила на его пост. Он сказал, что не подавал официальной жалобы, но намерен это сделать, если компания не исправит процесс установки Claude для Desktop.
Кенни сказал: «Если отбросить юридические последствия, существует значительный репутационный ущерб и потеря доверия пользователей, когда компания, которую пользователи считают приверженной безопасности и конфиденциальности, выпускает инструменты, которые, по-видимому, подрывают эту позицию». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Thomas Claburn