Исследователи в области безопасности обнаружили серьезную уязвимость в Claude Desktop Extensions от Anthropic. Один поддельный запись в Google Calendar позволяет запустить произвольный код на компьютере пользователя без каких-либо взаимодействий. Anthropic заявила, что не собирается исправлять эту проблему.
Компания LayerX выявила критическую уязвимость в Claude Desktop Extensions (DXT). Злоумышленники способны с помощью одной записи в Google Calendar выполнить произвольный код на машине жертвы, и та даже не заметит и не потребуется подтверждать действия.
Уязвимость получила максимальный балл 10 из 10 по шкале Common Vulnerability Scoring System (CVSS) — это стандартная отраслевая метрика для оценки опасности дефектов безопасности, и выше уже некуда. По данным LayerX, она затрагивает свыше 10 000 активных пользователей и 50 расширений DXT.
Claude Desktop Extensions — это дополнения из маркетплейса Anthropic, созданные на базе Model Context Protocol (MCP), открытого стандарта от Anthropic. Они позволяют моделям ИИ подключаться к внешним сервисам и источникам данных. Расширения связывают Claude с Google Calendar, почтой или локальными утилитами на ПК, устанавливаясь так же просто, как плагины для браузера.
В отличие от расширений браузера, которые изолированы и не имеют прямого доступа к ОС, DXT работают без каких-либо барьеров и с полными правами системы, как отмечает LayerX. Они читают любые файлы, запускают команды, извлекают сохраненные пароли и меняют настройки ОС. LayerX называет их "мостами привилегированного выполнения" между языковой моделью Claude и локальной ОС.
Claude сам решает, как сочетать безопасные и опасные инструменты
По словам исследователей безопасности, главная беда в том, как Claude самостоятельно подбирает и связывает установленные расширения. На запрос пользователя модель сама выбирает инструменты и комбинирует их для решения задачи.
LayerX подчеркивает: отсутствуют механизмы защиты, которые помешали бы данным из безобидного сервиса вроде Google Calendar напрямую попасть в локальный инструмент с правами на выполнение кода. Граница между безопасным и вредоносным контентом размыта.
Атака, описанная LayerX, не требует хитрых уловок, маскировки или тайных команд. Всё начинается с невинного запроса: "Проверь мои последние события в Google Calendar и разберись с этим".
Человек-ассистент понял бы это как просьбу управлять встречами. А Claude воспринял расплывчатую фразу "разберись с этим" как повод запустить локальный код через расширение, утверждает LayerX.
Для атаки хватит записи в календаре с названием "Task Management", где две инструкции: скачать код по указанной ссылке и выполнить его на машине. Никаких диалогов подтверждения, никакого взаимодействия с пользователем. Итог: злоумышленник полностью захватывает контроль над устройством жертвы.
Anthropic не станет исправлять дефект — это особенность дизайна
LayerX сообщила Anthropic об уязвимости. Однако, по словам исследователей, компания отказалась её устранять. Обоснование: такое поведение соответствует задуманному дизайну, где приоритет отдается полной автономии и взаимодействию расширений. Исправление ограничило бы свободу модели в комбинировании инструментов и снизило полезность агента ИИ.
LayerX прямо советует: пока нет надежных мер защиты, от MCP-расширений лучше отказаться на системах, где безопасность критична. "Запись в календаре не должна угрожать устройству", — пишет исследователь безопасности Рой Паз.
Агенты ИИ отдают предпочтение мощи, а не защите
Этот случай иллюстрирует долгосрочное противоречие между возможностями ИИ и кибербезопасностью. Удо Шнайдер, руководитель по управлению рисками и соответствию в Европе в Trend Micro, объясняет: современные языковые модели не отличают контент от инструкций. Всё, что получает модель, — просто текст. Те же механизмы, что дают креативные ответы, делают систему уязвимой к внешним командам.
Агенты ИИ усугубляют ситуацию — они сложнее и действуют автономнее. Агент Claude Cowork от Anthropic и раскрученный OpenClaw уже показали подобные риски, как и множество других систем.
Шнайдер ссылается на правило безопасности: агенты должны одновременно использовать не больше двух из четырех классов возможностей — внешняя связь, доступ к чувствительным данным, обработка ненадежного контента и долгосрочное хранение. На деле же они задействуют все четыре ради большей мощи.
"Чем больше возможностей задействовано, тем выше риск. Но если этот риск принимают осознанно и контролируемо, возразить сложно", — говорит Шнайдер. "Проблема в том, что многое внедряют бездумно на волне хайпа".
Осознанный отказ Anthropic от патча подтверждает этот конфликт, по мнению Шнайдера: для агентов ИИ безопасность и полезность напрямую противостоят друг другу.