Claude versi desktop dipertanyakan sebagai "perangkat lunak mata-mata"! Mengubah pengaturan akses tanpa izin, diduga melanggar hukum Uni Eropa

Peneliti menuduh versi desktop Claude menyisipkan profil pengaturan di berbagai browser tanpa izin, memicu kontroversi tentang “perangkat lunak mata-mata” dan kekhawatiran pelanggaran undang-undang privasi UE. Pandangan publik beragam, para ahli menyerukan agar pihak berwenang meningkatkan transparansi untuk melindungi keamanan siber.

Peneliti Keamanan Menuduh Versi Desktop Claude sebagai “Perangkat Lunak Mata-mata”

Apakah Anda pernah menginstal versi desktop Claude? Peneliti keamanan Alexander Hanff baru-baru ini memposting bahwa aplikasi desktop Claude, tanpa persetujuan pengguna, diam-diam memasang profil pengaturan browser di komputer.

Hanff menemukan saat memeriksa komputer Mac, bahwa program tersebut menulis profil tertentu di folder tujuh browser berbasis Chromium, termasuk Brave, Google Chrome, Edge, Arc, Vivaldi, dan Opera, bahkan mencakup browser yang belum terinstal saat itu.

Dia menunjukkan bahwa operasi ini disembunyikan secara default, tanpa mekanisme persetujuan pengguna, dan sulit dihapus. Program ini tidak hanya memberikan izin sebelumnya untuk tiga kode ekstensi browser yang belum terinstal, nama file tidak jelas menunjukkan cakupan izin, dan juga memberikan izin sebelumnya untuk menjalankan file native message handler di browser yang belum ada.

Jika ekstensi diaktifkan, file pendukung dapat membaca status login browser pengguna, konten web, mengisi formulir otomatis, dan mengambil tangkapan layar.

Sumber gambar: Artikel Alexander Hanff Peneliti keamanan menuduh Claude Code versi desktop sebagai “Perangkat lunak mata-mata”

Hanff menunjukkan bahwa data keamanan internal Anthropic menunjukkan bahwa, tanpa perlindungan, ekstensi Chrome Claude memiliki tingkat keberhasilan serangan injeksi prompt sebesar 23,6%, dan dengan perlindungan yang ada, turun menjadi 11,2%.

Dalam kondisi di mana pengguna sudah menginstal bridge di laptop mereka, serangan injeksi prompt yang berhasil terhadap ekstensi ini akan membuka jalur serangan, memungkinkan ekstensi dan bridge untuk memicu file pendukung yang berjalan di luar sandbox browser dengan hak akses pengguna.

Dia menuduh bahwa perilaku versi desktop Claude sama seperti “mode gelap” (desain penipuan) dan “perangkat lunak mata-mata”, yang melanggar batas kepercayaan dan secara serius melanggar privasi pengguna.

Kemungkinan Melanggar Hukum UE?

Hanff dan Noah M. Kenney, pendiri perusahaan konsultasi digital Digital 520, juga menunjukkan bahwa versi desktop Claude mungkin melanggar Pasal 5 ayat 3 dari Arahan Privasi Elektronik UE, yang mengharuskan penyedia layanan memberikan informasi yang jelas dan mendapatkan persetujuan pengguna.

Hanff berpendapat bahwa, terlepas dari dampak hukum, perusahaan yang dikenal berkomitmen terhadap keamanan dan privasi ini, malah merilis alat yang tampaknya merusak posisi mereka sendiri, yang akan membawa kerusakan reputasi besar dan kehilangan kepercayaan pengguna.

Namun, Kenney menanggapi kritik Hanff tentang istilah “perangkat lunak mata-mata” dengan sikap hati-hati, menyatakan bahwa program tersebut tidak secara aktif mencuri data, tetapi dia setuju bahwa otoritas regulasi Eropa sangat ketat dalam menafsirkan pengecualian yang diperlukan, dan menginstal fitur integrasi tanpa persetujuan eksplisit berisiko tinggi terhadap sanksi regulasi.

Apakah Versi Desktop Claude Perangkat Lunak Mata-mata? Pandangan Publik Berbeda

Forum insinyur Hacker News memiliki pandangan yang beragam, beberapa insinyur melakukan pengujian dan mengonfirmasi adanya instalasi tanpa izin, serta merasa tidak puas karena Claude versi desktop mengubah pengaturan perangkat lunak lain secara sembarangan, merusak kepercayaan dasar antar perangkat lunak.

Sebagian pengguna lain berpendapat bahwa, ini hanyalah mekanisme pengolahan pesan asli yang standar, dan selama tidak ada bukti konkret bahwa program ini secara aktif membocorkan data, menyebutnya sebagai perangkat lunak mata-mata tampaknya berlebihan.

Mantan kepala teknis Apple, Bogdan Grigorescu, juga mengimbau di LinkedIn agar pengguna menjalankan alat AI generatif ini di mesin virtual atau perangkat terpisah, dan sebisa mungkin menghindari menginstalnya di komputer utama yang digunakan untuk keuangan pribadi dan data rahasia.

Ahli keamanan siber Jason Packer menyatakan bahwa, menandai ekstensi yang belum resmi di toko aplikasi sebagai kode ekstensi yang sudah diotorisasi sebelumnya adalah praktik yang sangat buruk dalam keamanan siber.

Anthropic belum memberikan tanggapan, masalah etika Claude diuji

Malwarebytes, perusahaan antivirus yang fokus pada malware Mac, berpendapat bahwa pengolahan pesan asli memang merupakan mekanisme resmi dan sah dari browser Chromium, namun Claude versi desktop, tanpa memberi tahu pengguna secara jelas, menulis profil pengaturan ke beberapa jalur browser, secara pasti meningkatkan permukaan serangan komputer.

Malwarebytes menilai bahwa karena program Claude membutuhkan ekstensi tertentu untuk berfungsi penuh, menyebutnya sebagai perangkat lunak mata-mata tidak adil. Namun, Anthropic pasti bisa melakukan implementasi yang lebih transparan, dengan memberi tahu pengguna secara jelas tentang perubahan sistem dan membiarkan mereka menilai risiko sebelum menyetujui instalasi.

Hingga saat berita ini dipublikasikan, Anthropic belum mengeluarkan pernyataan resmi. Media 《The Register》 dan Malwarebytes telah mengajukan permintaan komentar kepada Anthropic, tetapi belum mendapatkan respons.