Pesquisadores da Koi Security descobriram que três das extensões oficiais da Anthropic para o Claude Desktop eram vulneráveis à injeção imediata.
As vulnerabilidades, relatadas por meio do programa HackerOne da Anthropic em 3 de julho e verificadas como de alta gravidade (CVSS 8.9), afetaram os conectores Chrome, iMessage e Apple Notes.
Essas extensões são servidores MCP (Model Context Protocol) empacotados disponíveis para download no marketplace da Anthropic. Eles permitem que Claude, o modelo de linguagem grande (LLM) subjacente do qual todas as ferramentas antrópicas dependem, atue em nome do usuário usando a web e os aplicativos aos quais eles se conectam.
A princípio, essas extensões são muito semelhantes às extensões do navegador, como as extensões do Chrome, fornecendo a mesma experiência de instalação com um clique.
Injeção de comando não sanitizada em extensões não restritas
Enquanto as extensões do Chrome são executadas em um processo de navegador em sandbox, as extensões do Claude Desktop são executadas totalmente sem sandbox no dispositivo do usuário, com permissões totais do sistema.
“Isso significa que eles podem ler qualquer arquivo, executar qualquer comando, acessar credenciais e modificar as configurações do sistema. Eles não são plug-ins leves – são executores privilegiados que unem o modelo de IA de Claude e seu sistema operacional”, escreveram os pesquisadores da Koi Security em um relatório de 5 de novembro.
As vulnerabilidades que afetam as três extensões são devidas à injeção de comando não higienizada, que pode transformar qualquer pergunta benigna para Claude em execução remota de código (RCE) em uma máquina se um agente mal-intencionado conseguir criar conteúdo que seja acessado pelo Claude Desktop.
O assistente, agindo de boa fé, executa comandos maliciosos porque acredita que está seguindo instruções legítimas.
O invasor poderia, assim, coletar informações importantes, como chaves SSH, credenciais da AWS ou senhas do navegador.
Essas vulnerabilidades foram totalmente corrigidas pela Anthropic na versão 0.1.9. Essas correções foram verificadas pela Koi Security em 19 de setembro.