文章总结： 文档披露Anthropic在用户安装ClaudeDesktop时未经授权在七款浏览器目录静默植入NativeMessaging配置文件，该程序可在浏览器插件触发后以用户权限执行网页自动化操作（包括读取登录会话、抓取数据、录制操作等），存在23.6%提示词注入攻击风险，行为违反欧盟电子隐私指令及多国计算机滥用法规。作者通过复现审计确认文件一致性及修改记录，建议用户检查NativeMessagingHosts目录并删除相关配置文件。 综合评分： 82 文章分类： 恶意软件,隐私侵犯,合规风险,安全工具,数据安全

Anthropic 在用户安装 Claude Desktop 时暗中植入间谍软件

原创

thatprivacyguy thatprivacyguy

安全行者老霍

2026年5月17日 09:00 北京

在小说阅读器读本章

去阅读

作者：ALEXANDER HANFF

发布时间：2026年4月18日

此前我在开发个人项目，调试自研 Native Messaging 辅助工具时，需要查看本机 Brave Browser 的注册组件，却发现了一个来路不明的文件。该文件并非我自行安装，未经过我的授权许可，事前也无任何相关告知，文件归属方为 Anthropic。

该文件在 Mac 设备内路径如下：

~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/com.anthropic.claude_browser_extension.json

文件内容：

{
"name": "com.anthropic.claude_browser_extension",
"description": "Claude Browser Extension Native Host",
"path": "/Applications/Claude.app/Contents/Helpers/chrome-native-host",
"type": "stdio",
"allowed_origins": [
"chrome-extension://dihbgbndebgnbjfmelmegjepbnkhlgni/",
"chrome-extension://fcoeoabgfenejglbffodgkkbkcdhcgfn/",
"chrome-extension://dngcpimnedloihjnnfngkgjoidhnaolf/"
  ]
}

面向非技术人员通俗解释：这是一份 Native Messaging 清单文件。基于 Chromium 内核的浏览器，若浏览器插件需要调用本地可执行程序，都会读取该配置文件。Native Messaging Host 可脱离浏览器沙箱运行，运行权限与当前登录用户一致。一旦设备内出现上述三个 ID 对应的浏览器插件，Brave 浏览器就会获得授权，以当前用户权限拉起/Applications/Claude.app/Contents/Helpers/chrome-native-host 程序。

出于隐私与安全考量，我从未安装任何 Claude 浏览器插件，仅在设备中安装了 Claude Desktop 桌面客户端，而这份配置文件正是由该客户端静默生成写入。Claude Desktop 擅自跨越不同厂商的程序权限边界，在第三方浏览器目录中私自搭建后门通信通道，全程未告知用户、未获取用户许可。

在此先作出一点说明，由于 Anthropic 旗下有两款名称极易混淆的产品。本文所指为Claude Desktop，这款基于 Electron 开发、捆绑标识符为 com.anthropic.claudefordesktop、以 Claude.app 为程序包分发的 macOS 客户端应用，并非 Anthropic 推出的命令行开发工具Claude Code。

Claude Code 拥有独立且已有公开文档说明的原生消息通信对接程序，对应文件名为 com.anthropic.claude_code_browser_extension.json。而本文提及的对接程序由另一款产品通过不同内部子系统部署，文件名为 com.anthropic.claude_browser_extension.json，且该程序从未被 Anthropic 对外公开说明。

两类对接程序可同时共存，本文仅针对这款无公开文档说明的程序展开论述。

直白而言，该行为属于恶意隐性运营手段；从合规层面判定，此举直接违反欧盟《2002/58/EC 电子隐私指令》第 5 条第 3 款，同时触犯多国计算机访问及滥用相关刑事法规，而 Anthropic 长期对外塑造重视安全管控的人工智能实验室形象。

1. 该通信程序激活后具备的能力

程序闲置状态下不会主动运行，仅当匹配 ID 的浏览器插件发起调用时才会启动，这也是 Anthropic 大概率用以辩解的说辞，在此提前厘清核心风险。

当配套插件部署完成、通信通道被唤醒后，Claude 运行的各类智能进程即可调用浏览器自动化相关能力，相关功能均已收录在 Anthropic 公开官方文档中：

1. Claude 可新建浏览器标签页，同步读取浏览器登录会话状态，直接登录用户已完成授权登录的各类站点；
2. 在线调试：直接读取控制台报错信息与网页 DOM 结构状态，并自动修复问题代码；
3. 数据提取：抓取网页结构化信息并保存至本地；
4. 任务自动化：自动完成数据录入、表单填写、多站点流程化操作等重复性浏览器操作；
5. 会话录制：将浏览器操作流程生成 GIF 动图，用于流程留存与分享。

以上官方明确标注的能力包含：获取已授权站点登录权限、读取网页底层结构、自动填写表单、录制页面操作等。若用户浏览器已登录网银、财税系统、办公社交平台、企业生产运维后台等私密业务站点，该通信程序均可依托用户权限完成操作、读取私密数据。

该程序脱离浏览器沙箱限制，以当前用户权限运行，且不会在 macOS 系统进程面板、权限管理界面展示，仅由浏览器调用并通过 stdio 完成数据交互。简言之，用户一旦安装 Claude Desktop，这套后台调用能力就会提前预埋至设备内，全程无提示、无授权、无拒绝选项。

截至 2026 年 4 月，Chrome 端 Claude 插件仍处于 Beta 测试阶段，该插件于 2025 年 8 月以技术预览版本上线，2025 年年末逐步大范围推送。Anthropic 官方公告明确承认，提示词注入是该产品核心安全隐患：未部署防护策略时，恶意攻击成功率达 23.6%；部署现有防护机制后，攻击成功率依旧高达 11.2%。而这款被 Claude Desktop 静默预装在所有用户设备中的通信程序，依照 Anthropic 自身安全测试数据测算，提示词注入攻击平均每四次即可成功突破一次防护。

2. 完整复测审计报告

我在另一台设备上复现该问题并完成全流程审计：

2.1 在设备中查找所有 Anthropic Native Messaging清单文件

$ find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension*"
~/Library/Application Support/Arc/User Data/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
~/Library/Application Support/Chromium/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
~/Library/Application Support/Google/Chrome/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
~/Library/Application Support/Microsoft Edge/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
~/Library/Application Support/Vivaldi/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
~/Library/Application Support/com.operasoftware.Opera/NativeMessagingHosts/com.anthropic.claude_browser_extension.json

执行检索命令后，依次检索出 Arc、Brave、Chromium、Google Chrome、Microsoft Edge、Vivaldi、Opera 七款浏览器对应的配置文件。

2.2 确认所有清单文件内容完全一致

$ md5 -q ~/Library/Application\ Support/*/NativeMessagingHosts/com.anthropic.claude_browser_extension.json \
         ~/Library/Application\ Support/*/*/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
1e927a9e7796d0175a2a1f30028f4baa
1e927a9e7796d0175a2a1f30028f4baa
1e927a9e7796d0175a2a1f30028f4baa
1e927a9e7796d0175a2a1f30028f4baa
1e927a9e7796d0175a2a1f30028f4baa
1e927a9e7796d0175a2a1f30028f4baa
1e927a9e7796d0175a2a1f30028f4baa

校验所有配置文件一致性通过 MD5 哈希值比对可确认，七份存放于不同浏览器目录下的配置文件字节内容完全一致。

2.3 核对设备实际已安装浏览器

$ ls /Applications/ | grep -iE "chrome|brave|safari|edge|opera|vivaldi|arc|chromium|firefox|tor"
Brave Browser.app
Google Chrome.app
Safari.app
Tor Browser.app

本机仅部署 Brave Browser、Google Chrome、Safari、Tor Browser 四款浏览器，其余四款浏览器并未安装，却依旧被强行写入对应配置文件。

2.4 核查原生消息通信目录创建时间以及清单文件末次修改时间

$ stat -f "birth:%SB  mod:%Sm  %N" ~/Library/Application\ Support/*/NativeMessagingHosts/com.anthropic.claude_browser_extension.json \
                                   ~/Library/Application\ Support/*/*/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
birth:Jan 19 08:19:15 2026  mod:Apr 16 23:42:19 2026  .../Arc/User Data/NativeMessagingHosts/...
birth:Jan 19 08:19:15 2026  mod:Apr 16 23:42:19 2026  .../BraveSoftware/Brave-Browser/NativeMessagingHosts/...
birth:Jan 19 08:19:15 2026  mod:Apr 16 23:42:19 2026  .../Chromium/NativeMessagingHosts/...
birth:Dec 20 04:18:42 2025  mod:Apr 16 23:42:18 2026  .../Google/Chrome/NativeMessagingHosts/...
birth:Jan 19 08:19:15 2026  mod:Apr 16 23:42:19 2026  .../Microsoft Edge/NativeMessagingHosts/...
birth:Jan 19 08:19:15 2026  mod:Apr 16 23:42:19 2026  .../Vivaldi/NativeMessagingHosts/...
birth:Jan 19 08:19:15 2026  mod:Apr 16 23:42:19 2026  .../com.operasoftware.Opera/NativeMessagingHosts/...

核查目录创建时间与文件修改时间Google Chrome 对应配置文件初始创建时间为 2025 年 12 月 20 日，其余六份配置文件统一创建于 2026 年 1 月 19 日；所有配置文件最新修改时间均为 2026 年 4 月 16 日，创建与修改间隔长达数月，证明文件并非一次性生成，后期存在反复覆写行为。

2.5 调取 Claude Desktop 本地运行日志

Claude Desktop 的日志存放于路径～/Library/Logs/Claude/main.log 中，该日志明确以内部子系统名称 Chrome Extension MCP 记录了此次安装行为：

$ grep -E "Chrome Extension MCP|App is installed" ~/Library/Logs/Claude/main.log
2026-03-2114:54:39[info] App is installed, enabling initial check and auto-updates
2026-03-2114:54:40[info][Chrome Extension MCP] Installed native host manifest for Chrome at /Users/alexanderhanff/Library/Application Support/Google/Chrome/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
2026-03-2114:54:40[info][Chrome Extension MCP] Installed native host manifest for Brave at /Users/alexanderhanff/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
2026-03-2114:54:40[info][Chrome Extension MCP] Installed native host manifest for Edge at /Users/alexanderhanff/Library/Application Support/Microsoft Edge/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
2026-03-2114:54:40[info][Chrome Extension MCP] Installed native host manifest for Chromium at /Users/alexanderhanff/Library/Application Support/Chromium/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
2026-03-2114:54:40[info][Chrome Extension MCP] Installed native host manifest for Arc at /Users/alexanderhanff/Library/Application Support/Arc/User Data/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
2026-03-2114:54:40[info][Chrome Extension MCP] Installed native host manifest for Vivaldi at /Users/alexanderhanff/Library/Application Support/Vivaldi/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
2026-03-2114:54:40[info][Chrome Extension MCP] Installed native host manifest for Opera at /Users/alexanderhanff/Library/Application Support/com.operasoftware.Opera/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
2026-03-2114:54:40[info][Chrome Extension MCP] Native host installation complete

统计 Claude Desktop 日志内所有安装行为记录：

$ grep -c "Native host installation complete" ~/Library/Logs/Claude/main.log ~/Library/Logs/Claude/main1.log
~/Library/Logs/Claude/main.log:7
~/Library/Logs/Claude/main1.log:24

Claude Desktop 日志存放路径为～/Library/Logs/Claude/main.log，日志内明确将该静默部署行为归类为内部组件 Chrome Extension MCP，并完整记录每一次自动写入配置文件的操作，日志内累计记录 31 次原生通信组件安装完成记录。

2.6 核查辅助程序代码签名信息

$ codesign -dvv /Applications/Claude.app/Contents/Helpers/chrome-native-host
Executable=/Applications/Claude.app/Contents/Helpers/chrome-native-host
Identifier=chrome-native-host
Format=Mach-O universal (x86_64 arm64)
CodeDirectory v=20500 size=2334 flags=0x10000(runtime) hashes=62+7 location=embedded
Signature size=9046
Authority=Developer ID Application: Anthropic PBC (Q6L2SF6YDW)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=16 Apr 2026 at 18:39:18
TeamIdentifier=Q6L2SF6YDW
Runtime Version=26.1.0

该辅助二进制文件为通用型 Mach-O 可执行文件，经由 Anthropic PBC 的开发者身份应用证书完成代码签名，团队标识为 Q6L2SF6YDW。该签名带有苹果时间戳认证机构出具的 RFC 3161 安全时间戳，时间为 2026 年 4 月 16 日 18 时 39 分 18 秒。

2.7 核查所属程序包的公证状态

$ stapler validate /Applications/Claude.app
Processing: /Applications/Claude.app
The validate action worked!

$ stapler validate /Applications/Claude.app/Contents/Helpers/chrome-native-host
Processing: /Applications/Claude.app/Contents/Helpers/chrome-native-host
chrome-native-host does not have a ticket stapled to it.

Claude.app 程序包已附加苹果官方公证凭证，程序包内的辅助二进制文件无独立公证凭证，其公证效力依托所属主程序包生效。

2.8 检查清单文件上的 macOS 来源元数据

现代 macOS 通过扩展属性com.apple.provenance来记录哪个应用程序写入了给定文件。该属性由操作系统控制，无法被写入文件的应用程序伪造。

$ xattr -p -x com.apple.provenance ~/Library/Application\ Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
01 02 00 35 B5 F7 46 B2 6C 42 87

$ xattr -p -x com.apple.provenance ~/Library/Application\ Support/Microsoft\ Edge/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
01 02 00 35 B5 F7 46 B2 6C 42 87

$ xattr -p -x com.apple.provenance ~/Library/Logs/Claude/main.log
01 02 00 35 B5 F7 46 B2 6C 42 87

Brave 清单文件、Edge 清单文件与 Claude Desktop 自身日志文件的来源签名逐字节完全相同。生成该日志的程序为 Claude Desktop，这些清单文件也均由该程序创建。

2.9 核查 Anthropic 对其目标浏览器的公开立场

Anthropic 官方 Claude Code 文档 [2] 明确说明：“Chrome 集成功能处于测试阶段，目前仅支持 Google Chrome 与 Microsoft Edge。暂不支持 Brave、Arc 及其他基于 Chromium 的浏览器。”code.claude.com

而实际安装行为覆盖了 Chrome、Edge，以及 Brave、Arc、Chromium、Vivaldi 和 Opera。

3. 违规隐性行为汇总

1. 跨信任边界强制捆绑部署：用户仅安装桌面客户端，程序却擅自修改第三方浏览器配置，违背软件互不干预的行业基本准则；
2. 默认静默启用，无主动授权入口：软件安装、首次启动、日常使用全程无授权弹窗、无勾选选项、无功能告知，用户无拒绝权限；
3. 清理难度远高于部署难度：静默部署无需用户任何操作，想要排查清理则需要熟知系统隐藏目录、掌握终端指令，且单纯删除文件无效，客户端启动后会自动重建；
4. 提前授权未安装程序：提前为三款未安装的浏览器扩展 ID 开放本地程序调用权限，预留沙箱外执行通道；
5. 命名模糊掩盖风险：配置文件命名偏向常规集成组件，弱化其后台操控、读取会话数据的高危属性，误导普通用户判断；
6. 向未部署软件目录写入文件：主动为设备内不存在的浏览器新建专属目录并写入配置，用户后续一旦安装对应浏览器，预埋通道将直接生效；
7. 超出官方适配范围部署：无视对外公布的适配规则，向未官宣支持的浏览器批量植入通信配置；
8. 无可视化管理入口：系统设置、浏览器设置、Claude 客户端设置均无已注册 Native Messaging 组件查询入口，仅能通过日志检索与文件遍历发现；
9. 启动自动恢复机制：客户端每次运行都会重新覆写配置文件，手动删除无法彻底清除；
10. 追认授权不具备法律效力：即便用户后续自愿安装对应浏览器插件，后续授予的权限也无法追认此前不知情状态下预埋的高危通信通道；
11. 正规资质加持隐性行为：整套静默部署程序拥有完整官方签名与公证资质，通过官方正式渠道分发，隐蔽性极强。

4. 衍生安全风险

闲置预埋的调用能力本身就存在极大安全隐患，该行为大幅扩大所有用户终端的攻击面，以下均为可落地风险场景，非主观臆断：

1. 供应链潜伏入侵风险：提前预留三款扩展程序调用权限，一旦任意一款插件出现账号被盗、应用商店恶意更新、企业批量静默推送、内部开发链路沦陷等问题，攻击者可直接借助预埋通道脱离浏览器沙箱在本地执行任意操作，省去手动写入配置文件的攻击步骤；
2. 插件提示词注入联动风险：依照 Anthropic 实测数据，Chrome 端 Claude 插件极易遭遇提示词注入攻击，攻击成功后可通过预埋通信程序，以本机用户权限执行各类高危操作；
3. 打破浏览器原生安全防护：大量用户选用 Brave 浏览器的核心诉求为严苛的隐私防护与安全加固策略，而静默植入的通信通道直接绕过其安全机制，变相降低终端整体防护等级；
4. 缺乏审计核查途径：普通用户无法通过系统自带功能排查此类后台通信组件，仅专业技术人员可通过命令行完成排查；
5. 功能权限无边界扩张风险：三款预授权扩展 ID 均由 Anthropic 管控，后续程序版本可随意拓展通信程序的操控与数据读取权限，全程无需告知终端用户。

5. 衍生隐私泄露风险

浏览器留存数据属于终端内隐私敏感度最高的数据类型之一：

1. 登录会话权限外泄：官方明确说明该通信组件可同步浏览器登录状态，能够以用户身份直接操作所有已登录站点，无需二次验证；
2. 网页明文数据读取：可直接读取网页 DOM 底层数据，获取仅本地展示、未上传网络的私密聊天内容、未提交表单信息等 HTTPS 加密传输之外的明文隐私数据；
3. 表单敏感信息窃取：支持自动填表的同时，可实时抓取账号密码、银行卡信息、动态验证码等核心敏感数据；
4. 多浏览账号隔离失效：macOS 端 Native Messaging 组件作用范围为整款浏览器，不区分用户配置文件，用户依靠多账号区分工作、生活浏览场景的隐私隔离机制彻底失效；
5. 授权行为无效化：用户后续主动授予插件的使用权限，无法抵消前期不知情预埋通道带来的隐私泄露隐患。

6. 该程序是否属于间谍软件

客观事实定论：这是一套提前预埋、静默部署、处于待命状态的监控类功能组件。一旦配套调用插件上线部署，待命状态即刻解除，可直接完成数据读取、远程操控等行为。

即便 Anthropic 辩称闲置状态下程序不会执行恶意操作，也无法掩盖其提前预埋高危操控权限、私自建立跨程序信任通道、全程规避用户知情授权的既定事实。从法律层面判定，仅私自向用户终端植入程序、新建专属存储目录这一行为，就已明确违反欧盟电子隐私相关指令，同时触犯多国计算机非法访问与滥用相关法律。

7. Anthropic 本应采取的正确做法

以下均为当前桌面软件行业通用标准规范，落地门槛极低：

1. 新增首次启动授权弹窗：Claude Desktop 首次运行弹出明确提示，说明浏览器集成功能用途与安全风险，提供启用、跳过、后期配置三类选项；
2. 采用被动触发部署模式：仅在用户主动安装配套浏览器插件后，再同步部署通信配置文件，以用户主动安装行为作为授权依据，禁止提前预埋；
3. 严格限定部署范围：仅向用户实际使用并授权的单一浏览器写入配置，禁止全品类浏览器批量静默部署；
4. 增设可视化管理面板：在 Claude 客户端设置内，清晰展示所有已注册系统集成组件，支持用户一键永久清除，并标注关闭后对应的功能影响；
5. 完善全量公开文档：对外公示所有 Native Messaging 组件部署路径、功能用途，区分不同产品对应的配置文件名，方便用户自查核对；
6. 存量用户统一告知整改：向历史存量用户推送弹窗提醒，告知设备内已预埋的静默通信组件清单，提供一键清理关闭入口；
7. 新增首次调用二次确认机制：即便已安装配套插件，插件首次发起本地通信调用时，依旧向用户发起实时授权确认，杜绝后台私自调用。

厂商后续整改态度至关重要，企业一边主张人工智能向善、抵制技术滥用，一边私自侵犯用户基础隐私与数据安全权益，二者自相矛盾。期待后续版本的 Claude Desktop 彻底移除此类静默预埋组件，或将高危浏览器集成功能全部设置为用户主动授权后方可启用；如若拒不整改，其对外宣扬的安全与隐私保护理念将彻底失去公信力。

https://www.thatprivacyguy.com/blog/anthropic-spyware/

(完)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 thatprivacyguy thatprivacyguy《Anthropic 在用户安装 Claude Desktop 时暗中植入间谍软件》