Stava esaminando le configurazioni di Brave sul suo MacBook quando Alexander Hanff, esperto di privacy e collaboratore occasionale di The Register, ha trovato un file che non aveva mai messo lì. Proveniva da Anthropic.
Il file si chiama com.anthropic.claude_browser_extension.json ed è un manifest Native Messaging, il documento che un browser basato su Chromium consulta quando un’estensione vuole richiamare un eseguibile sul sistema locale. Secondo Hanff, Claude Desktop lo aveva scritto nella directory di Brave senza alcuna comunicazione, senza richiesta di consenso e senza che lui avesse mai installato alcuna estensione Claude.
// affiliato ▸ Proton Drive · I tuoi file, protetti sul serio con sconti fino all'80% · Provalo gratis →
Cosa fa il file, e perché è un problema
Secondo la sua analisi, il manifest pre-autorizza tre identificatori di estensioni Claude a richiamare un eseguibile incluso in Claude Desktop, chrome-native-host, che gira al di fuori del sandbox del browser con i privilegi dell’utente. Hanff ha poi verificato lo stesso comportamento su un secondo dispositivo e ha trovato il manifest scritto nelle directory di sette browser Chromium-based, tra cui Chrome, Brave, Edge, Vivaldi, Arc e Opera, inclusi quattro che su quella macchina non erano nemmeno installati. Le directory corrispondenti sono state create da Claude Desktop al primo avvio.
I log interni dell’applicazione, come riporta Hanff, registrano esplicitamente l’operazione sotto il nome di sistema Chrome Extension MCP e mostrano oltre trenta eventi di installazione nei file di log correnti e archiviati. I timestamp di modifica indicano che il file viene riscritto a ogni avvio dell’app: cancellarlo manualmente non basta, ricompare al lancio successivo.
Secondo Hanff, le capacità documentate da Anthropic per l’integrazione con Chrome includono l’accesso alle sessioni autenticate dell’utente, la lettura del contenuto delle pagine, la compilazione di moduli e la registrazione delle interazioni. Con il bridge già installato, un attacco di prompt injection riuscito contro l’estensione Claude avrebbe, sempre secondo Hanff, un percorso diretto verso l’eseguibile esterno al sandbox. Anthropic stessa, nella documentazione di lancio di Claude for Chrome, indica un tasso di successo degli attacchi di prompt injection dell’11,2% anche con le mitigazioni attive.
Hanff ritiene che il comportamento costituisca una violazione dell’articolo 5(3) della Direttiva ePrivacy europea, che richiede consenso esplicito per la scrittura di dati sui dispositivi degli utenti, salvo casi di stretta necessità tecnica.
La valutazione di un secondo esperto
Noah Kenney, consulente di Digital 520, interpellato da The Register, ha confermato che le affermazioni tecniche sono verificabili e riproducibili da revisori indipendenti. Sul piano normativo, secondo Kenney, la scrittura del manifest rientra nell’ambito di applicazione dell’articolo 5(3) e l’argomento della “stretta necessità” regge poco in Europa, dove i regolatori tendono a interpretare il termine in modo restrittivo. Kenney ha tuttavia preso le distanze dall’etichetta “spyware” usata da Hanff, precisando che si tratta di un livello di integrazione pre-posizionato e dormiente, non di una esfiltrazione attiva di dati, anche se il rischio per la superficie di attacco è comunque reale.
Anthropic non ha risposto né alla richiesta di commento di The Register né al post di Hanff. Quest’ultimo ha dichiarato di non aver ancora presentato un esposto formale, ma di avere intenzione di farlo qualora l’azienda non intervenga sul meccanismo di installazione.
Mastodon
Telegram
Bluesky
RSS
Newsletter
Lascia un commento