Claude Desktop 静默注册浏览器桥接，用户毫不知情

背景：一次意外的发现

隐私研究者 Alexander Hanff 在调试 Brave 浏览器时，偶然发现了一个他从未安装过的 NativeMessagingHosts 清单文件。经过追踪，这个文件的源头直指 Claude Desktop —— Anthropic 的桌面客户端应用。更令人不安的是，这一切发生在用户完全不知情的情况下。

技术细节：静默注册浏览器桥接

Hanff 的调查揭示了 Claude Desktop 的一个隐蔽行为：每次启动时，它会在 七个不同的 Chromium 浏览器路径 下自动创建一个名为 com.anthropic.claude_browser_extension.json 的清单文件。这个文件指向一个名为 chrome-native-host 的二进制程序，并预先授权了三个扩展 ID。

这意味着 Claude Desktop 在用户毫不知情的情况下，建立了与本地浏览器的原生通信通道。无论用户是否安装了这些浏览器，Claude Desktop 都会创建相应的目录和配置文件。

桥接能力：远超想象的权限

通过这个原生消息传递桥接，Claude Desktop 获得了对浏览器的深度控制能力，包括但不限于：

• 打开和关闭标签页：可以在用户浏览器中静默打开任意网页
• 共享登录状态：利用用户已有的浏览器会话和 Cookie
• 读取 DOM 内容：可以获取页面上显示的所有信息
• 自动填写表单：可以以用户身份提交表单
• 录制会话：能够记录用户的浏览活动

想象一下这个场景：用户正在使用浏览器访问银行账户、税务系统或公司生产后台，Claude Desktop 理论上可以 以用户的身份 执行任何浏览器操作，而用户对此一无所知。

隐私问题：未经同意的系统性侵入

这一行为引发了严重的隐私担忧：

1. 未经同意：用户从未被询问是否允许安装浏览器桥接
2. 从未告知：Anthropic 的文档中完全没有记录这个桥接机制的存在
3. 每次启动重写：即使用户手动删除这些文件，Claude Desktop 会在下次启动时重新创建
4. 盲目创建：即使目标浏览器根本未安装，Claude Desktop 也会创建对应的目录和文件

法律分析：涉嫌违反 ePrivacy 指令

Hanff 从法律角度对此进行了分析，认为 Claude Desktop 的行为涉嫌违反 ePrivacy Directive Article 5(3)。该条款明确规定，在终端用户设备上存储或访问信息必须获得用户的知情同意。Claude Desktop 在未获得任何同意的情况下，在用户设备上创建文件并建立通信通道，可能已经越过了法律红线。

更深层的安全隐患：Prompt Injection

值得关注的是，Anthropic 自己关于 Claude for Chrome 扩展的数据显示，Prompt Injection 攻击的成功率相当可观：

• 有防护措施时：攻击成功率为 11.2%
• 无防护措施时：攻击成功率高达 23.6%

考虑到 Claude Desktop 的浏览器桥接拥有比浏览器扩展更底层的权限，实际的安全风险可能更为严重。

总结

Claude Desktop 的静默浏览器桥接行为揭示了一个令人不安的现实：在 AI 工具快速普及的今天，一些公司正在以"提升用户体验"为名，在用户设备上实施超出合理范围的自动化操作。用户对自身设备和数据的控制权正在被悄然侵蚀。

这不仅仅是技术问题，更是关乎用户知情权、选择权和隐私权的基本原则问题。

来源：That Privacy Guy