Claude versi desktop dipertanyakan sebagai "perangkat lunak mata-mata"! Mengubah pengaturan akses tanpa izin, diduga melanggar hukum Uni Eropa

Peneliti menuduh versi desktop Claude menyisipkan profil pengaturan di berbagai browser tanpa izin, memicu kontroversi tentang “perangkat lunak mata-mata” dan kekhawatiran pelanggaran undang-undang privasi UE. Pandangan publik beragam, para ahli menyerukan agar pihak berwenang meningkatkan transparansi untuk melindungi keamanan siber.

Peneliti Keamanan Menuduh Versi Desktop Claude sebagai “Perangkat Lunak Mata-mata”

Apakah Anda pernah menginstal versi desktop Claude? Peneliti keamanan Alexander Hanff baru-baru ini memposting bahwa aplikasi desktop Claude, tanpa persetujuan pengguna, diam-diam memasang profil pengaturan browser di komputer.

Hanff menemukan saat memeriksa komputer Mac, bahwa program tersebut menulis profil tertentu di folder tujuh browser berbasis Chromium, termasuk Brave, Google Chrome, Edge, Arc, Vivaldi, dan Opera, bahkan mencakup browser yang belum terinstal saat itu.

Dia menunjukkan bahwa operasi ini disembunyikan secara default, tanpa mekanisme persetujuan pengguna, dan sulit dihapus. Program ini tidak hanya memberikan izin sebelumnya untuk tiga kode ekstensi browser yang belum terinstal, nama file tidak jelas menunjukkan cakupan izin, dan juga memberikan izin sebelumnya untuk menjalankan file native message handler di browser yang belum ada.

Jika ekstensi diaktifkan, file pendukung dapat membaca status login browser pengguna, isi halaman web, mengisi formulir otomatis, dan mengambil tangkapan layar.

Sumber gambar: Artikel Alexander Hanff Peneliti keamanan menuduh Claude Code versi desktop sebagai “Perangkat Lunak Mata-mata”

Hanff menunjukkan bahwa data keamanan internal Anthropic menunjukkan bahwa, tanpa perlindungan, ekstensi Chrome Claude memiliki tingkat keberhasilan serangan injeksi prompt sebesar 23,6%, dan 11,2% dengan perlindungan yang ada.

Dalam kondisi di mana pengguna sudah menginstal bridge di laptop mereka, serangan injeksi prompt yang berhasil terhadap ekstensi ini akan membuka jalur serangan, memungkinkan ekstensi dan bridge untuk memicu file pendukung yang berjalan di luar sandbox browser dengan hak akses pengguna.

Dia menuduh bahwa perilaku versi desktop Claude sama dengan “mode gelap” (desain menipu) dan “perangkat lunak mata-mata”, yang melanggar batas kepercayaan dan secara serius melanggar privasi pengguna.

Kemungkinan Melanggar Hukum UE?

Hanff dan Noah M. Kenney, pendiri perusahaan konsultan digital Digital 520, juga menunjukkan bahwa versi desktop Claude mungkin melanggar Pasal 5 ayat 3 dari Arahan Privasi Elektronik UE, yang mengharuskan penyedia layanan memberikan informasi yang jelas dan mendapatkan persetujuan pengguna.

Hanff berpendapat bahwa, terlepas dari dampak hukum, perusahaan yang dikenal berkomitmen terhadap keamanan dan privasi ini, malah merilis alat yang tampaknya merusak posisi mereka sendiri, yang akan menyebabkan kerusakan reputasi besar dan kehilangan kepercayaan pengguna.

Namun, Kenney menanggapi kritik Hanff tentang istilah “perangkat lunak mata-mata” dengan sikap hati-hati, menyatakan bahwa program tersebut tidak secara aktif mencuri data, tetapi dia setuju bahwa otoritas regulasi Eropa sangat ketat dalam menafsirkan pengecualian yang diperlukan, dan menginstal fitur terintegrasi tanpa persetujuan eksplisit berisiko tinggi terhadap sanksi regulasi.

Apakah Versi Desktop Claude Perangkat Lunak Mata-mata? Pandangan Publik Berbeda

Forum insinyur Hacker News memiliki pandangan yang beragam, beberapa insinyur mengonfirmasi adanya instalasi tanpa izin setelah pengujian, dan merasa tidak puas dengan modifikasi yang dilakukan Claude pada pengaturan perangkat lunak lain, menganggapnya merusak kepercayaan dasar antar perangkat lunak.

Sebaliknya, sebagian pengguna berpendapat bahwa, ini hanyalah operasi standar dari mekanisme pengolahan pesan native, dan selama tidak ada bukti konkret bahwa program ini secara aktif membocorkan data, menyebutnya sebagai perangkat lunak mata-mata tampaknya berlebihan.

Mantan kepala teknologi Apple, Bogdan Grigorescu, juga mengimbau di LinkedIn agar pengguna menjalankan alat AI generatif ini di mesin virtual atau perangkat terpisah, dan sebisa mungkin menghindari menginstalnya di komputer utama yang menangani keuangan pribadi dan data rahasia.

Ahli keamanan siber Jason Packer menyatakan bahwa, Anthropic secara prematur mengotorisasi kode ekstensi yang belum resmi dirilis di toko aplikasi, dan praktik ini sangat buruk dari sudut pandang keamanan siber.

Anthropic belum memberikan tanggapan, isu etika Claude menghadapi ujian

Malwarebytes, perusahaan antivirus yang fokus pada malware Mac, berpendapat bahwa pengolahan pesan native memang merupakan mekanisme resmi dan sah dari Chromium, namun Claude versi desktop, tanpa memberi tahu pengguna secara jelas, menulis profil pengaturan ke beberapa jalur browser, secara pasti meningkatkan permukaan serangan komputer.

Malwarebytes menilai bahwa karena program Claude membutuhkan ekstensi tertentu untuk berfungsi penuh, menyebutnya sebagai perangkat lunak mata-mata tidak adil. Namun, Anthropic pasti bisa menerapkan praktik yang lebih transparan, memberi pengguna pemahaman yang jelas tentang perubahan sistem, dan membiarkan mereka menilai risiko sebelum menyetujui instalasi.

Hingga saat berita ini dipublikasikan, Anthropic belum mengeluarkan pernyataan resmi. Media 《The Register》 dan Malwarebytes telah mengajukan permintaan komentar kepada Anthropic, tetapi belum mendapatkan respons.