Исследователь по безопасности Александр Ханфф утверждает, что настольное приложение Claude создаёт на устройстве специальный «мост» для браузеров на Chromium. Если пользователь затем ставит расширение Claude для Chrome, ИИ-помощник получает очень широкий доступ к уже открытым сессиям и действиям в браузере.
По словам Ханффа, Claude Desktop без явного предупреждения создаёт на компьютере файл, связанный с MCP-расширением для Chrome. Сам разработчик говорит, что обнаружил его на своём MacBook случайно — во время работы над личным проектом — и не помнит, чтобы когда-либо отдельно устанавливал такой компонент.
Речь идёт о механизме, который работает не только с Chrome, но и с другими Chromium-браузерами — Brave, Edge, Opera и похожими. Сам по себе он неактивен, пока на устройстве нет официального расширения Claude для Chrome. Но после установки расширения, как утверждает исследователь, Claude получает доступ к открытым страницам, может читать содержимое вкладок и работать с сайтами, где пользователь уже авторизован.
Именно это и вызывает главную претензию. По словам Ханффа, такой уровень доступа включается слишком незаметно: без отдельного понятного запроса на подтверждение и без ощущения, что пользователь действительно осознанно дал ИИ-агенту доступ ко всем своим текущим браузерным сессиям. В теории это означает, что Claude сможет видеть сообщения в Slack, содержимое банковских страниц и другие чувствительные данные.
Такой «мост» нужен Anthropic для более автономной работы агента в браузере. Но, по мнению исследователя, именно из-за этого появляется и новый класс рисков — в том числе атаки через промпт-инъекции, когда вредоносная страница или содержимое сайта подталкивают ИИ-агента к нежелательным действиям.
Сама Anthropic, как отмечается, признаёт, что у расширения для Chrome есть ограничения и уязвимости. И Claude Desktop, и Claude for Chrome пока остаются бета-продуктами, а значит, компания всё ещё дорабатывает и саму механику доступа, и защиту от атак.
На фоне этой истории особенно тревожно смотрятся и другие эксперименты вокруг Claude. Так, в апреле один из исследователей смог заставить Claude Opus 4.6 сгенерировать полноценную цепочку эксплойтов для Chrome, а позже — добиться выполнения кода за пределами песочницы браузера. Всё это усиливает опасения, что при слишком широком доступе к браузеру автономный ИИ-агент может стать не просто удобным помощником, а серьёзной точкой риска.
