Исследователи LayerX обнаружили критическую уязвимость в расширениях Claude Desktop Extensions от Anthropic: одна вредоносная запись в Google Calendar может запустить произвольный код на компьютере пользователя без его участия.
Исследователи LayerX обнаружили критическую уязвимость в расширениях Claude Desktop Extensions от Anthropic: одна вредоносная запись в Google Calendar может запустить произвольный код на компьютере пользователя без его участия.
Уязвимость получила максимальную оценку — 10 из 10 по шкале CVSS, международному стандарту оценки критичности уязвимостей в кибербезопасности. Уязвимость потенциально затрагивает более 10 000 активных пользователей и около 50 расширений.
Проблема связана с архитектурой DXT: в отличие от браузерных плагинов они работают без изолированной среды и обладают полными системными привилегиями, то есть могут читать файлы, выполнять команды, извлекать учетные данные и менять настройки операционной системы. Исследователи называют такие расширения «привилегированным мостом выполнения» между языковой моделью и локальной системой.
Исследователи отмечают, что сценарий атаки не требует сложных техник. Для этого достаточно попросить Claude проверить события в календаре и «разобраться с этим». Модель может интерпретировать такую формулировку как команду на выполнение действий и автоматически связать безопасный сервис вроде календаря с локальным инструментом, способным запускать код. Если в событии содержится инструкция скачать и выполнить файл, система может сделать это без дополнительных уведомлений, что фактически открывает злоумышленнику полный доступ к устройству.
LayerX уведомила Anthropic о находке, однако компания, по словам исследователей, решила не устранять уязвимость. В Anthropic считают, что такое поведение соответствует проектной логике продукта, который делает ставку на максимальную автономность ИИ-агента и его способность свободно комбинировать инструменты. Ограничения, как полагают в компании, могут снизить полезность системы.
Эксперты отмечают, что ситуация отражает более широкий конфликт в индустрии ИИ: безопасность часто вступает в прямое противоречие с функциональностью. Языковые модели не различают контент и инструкции, для них все является текстом, а механизмы, позволяющие им действовать гибко и автономно, одновременно повышают риск злоупотреблений.
LayerX рекомендует не использовать MCP-расширения на системах, где критична защита данных, до появления полноценных механизмов безопасности.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
это не баг, а ИИ фича