Claude настільна версія піддається критиці як «шпигунське програмне забезпечення»! Зміна налаштувань доступу без згоди, ймовірно, порушує закони Європейського Союзу

Обвинувачення дослідників безпосередньо у тому, що Claude Desktop був встановлений у кількох браузерах без згоди, викликав суперечки щодо «шпигунського програмного забезпечення» та сумнівів у порушенні законів ЄС про конфіденційність. Громадськість має дві протилежні думки, експерти закликають офіційні органи підвищити прозорість для захисту безпеки.

Фахівець з інформаційної безпеки звинуватив Claude Code Desktop у «шпигунському програмному забезпеченні»

Ви коли-небудь встановлювали Claude Desktop? Недавно дослідник з інформаційної безпеки Александр Ханфф опублікував повідомлення, у якому стверджує, що застосунок Claude Desktop у таємниці встановлює файли налаштувань для обробки повідомлень у браузерах без згоди користувача.

Ханфф під час перевірки на Mac виявив, що ця програма у папках до 7 браузерів на базі Chromium, таких як Brave, Google Chrome, Edge, Arc, Vivaldi та Opera, записала певні файли налаштувань. Ця дія навіть охоплює браузери, які ще не були встановлені користувачем.

Він зазначив, що ця операція за замовчуванням прихована, без механізму згоди користувача, і її важко видалити. Ця програма не лише попередньо дозволила три ідентифікатори розширень браузерів, які ще не були встановлені, а й іменування файлів не дає чіткого уявлення про обсяг дозволів, а також попередньо дозволила використання нативних процесів обробки повідомлень для браузерів, яких ще не існує.

Якщо розширення активується, допоміжний процес зможе читати стан входу користувача у браузері, вміст веб-сторінок, автоматично заповнювати форми та знімати скріншоти.

Джерело зображення: стаття Александра Ханфф, обвинувачення у шпигунському програмному забезпеченні для Claude Code Desktop

Ханфф зазначив, що внутрішні дані безпеки Anthropic показують, що Chrome-розширення Claude без заходів захисту має 23,6% успіху у атаках інжекції підказок, тоді як при наявності захистів — 11,2%.

При попередній установці мостового компонента на ноутбуках користувачів, успішна атака інжекції підказки через це розширення дає шлях до проникнення, оскільки через розширення і мостовий компонент можна активувати допоміжний процес, що працює поза браузерним ізоляційним середовищем із правами користувача.

Він звинуватив, що поведінка Claude Desktop схожа на «темний режим» (шахрайський дизайн) та «шпигунське програмне забезпечення», оскільки такі дії порушують довіру користувачів і серйозно порушують їхню приватність.

Може порушувати закони ЄС?

Ханфф разом із засновником цифрової консалтингової компанії Digital 520 Ноа М. Кенні також вказують, що Claude Desktop може порушувати статтю 5, пункт 3 Директиви ЄС про електронну приватність, яка вимагає від сервісних провайдерів надавати чітку інформацію та отримувати згоду користувачів.

Ханфф вважає, що, відкидаючи юридичний аспект, ця компанія, яка позиціонує себе як прихильник безпеки та приватності, випускає інструменти, що руйнують її власну репутацію, що може спричинити значні репутаційні втрати і втрату довіри користувачів.

Проте, Кенні ставиться з обережністю до критики Ханффа щодо «шпигунського ПЗ», зазначаючи, що програма не викрадає дані активно, але він погоджується з тим, що регулятори Європи дуже строго трактують необхідні винятки, і будь-яке встановлення функцій без явної згоди може спричинити високі штрафи.

Чи є Claude Code Desktop шпигунським ПЗ? Громадськість має дві протилежні думки

Форум інженерів Hacker News має дві протилежні точки зору: деякі інженери підтвердили, що програма встановлюється без дозволу, і незадоволені тим, що Claude Desktop змінює налаштування інших незалежних програм, порушуючи базову довіру між програмами.

Інша група користувачів вважає, що це — звичайна робота нативної системи обробки повідомлень, і без конкретних доказів активного витоку даних називати її шпигунським ПЗ — перебільшення.

Колишній керівник Apple Богдан Григореску також закликав у LinkedIn, щоб користувачі запускали такі інструменти у віртуальних машинах або на окремих пристроях, щоб уникнути встановлення їх на основний комп’ютер, що обробля особисті фінанси та конфіденційні дані.

Фахівець з безпеки Jason Packer зазначив, що попереднє дозволення Anthropic ідентифікаторів розширень, які ще не опубліковані у магазині додатків, є дуже поганим прикладом у практиці кібербезпеки.

Anthropic поки не відповіли, а питання етики Claude проходить випробування

Компанія Malwarebytes, що спеціалізується на антивірусних засобах для Mac, вважає, що нативна обробка повідомлень — стандартний легальний механізм Chromium, але Claude Desktop, не повідомляючи користувачам, попередньо записує файли налаштувань у кілька шляхів браузерів, що безсумнівно збільшує поверхню атаки для комп’ютера.

Malwarebytes оцінює, що для роботи Claude потрібні певні розширення, і називати її шпигунським ПЗ — неправильно. Однак Anthropic має можливість зробити свою реалізацію більш прозорою, щоб користувачі могли чітко зрозуміти зміни системи і самостійно оцінити ризики перед погодженням на встановлення.

На момент публікації цієї статті Anthropic ще не зробили офіційної заяви. ЗМІ «The Register» і Malwarebytes звернулися з запитами щодо коментарів, але відповіді поки не отримали.