Claude桌面版遭質疑「間諜軟體」！未經同意就改存取設定，疑違反歐盟法

研究員指控 Claude 桌面版未經同意於多款瀏覽器植入設定檔，引發「間諜軟體」爭議與違反歐盟隱私法疑慮。外界看法兩極，專家呼籲官方應提升透明度以保障資安。

資安研究員指控Claude Code桌面版是「間諜軟體」

你安裝過 Claude 桌面版嗎？資安研究員 Alexander Hanff 近日發文稱，Claude 的桌面版應用程式，會在未經使用者同意的情況下，悄悄於電腦中安裝了瀏覽器原生訊息處理的設定檔案。

Hanff 在檢查 Mac 電腦時發現，該程式在 Brave、Google Chrome、Edge、Arc、Vivaldi 與 Opera 等多達 7 款 Chromium 架構瀏覽器的資料夾內，寫入了特定設定檔，這項寫入操作甚至涵蓋使用者當下尚未安裝的瀏覽器軟體。

他指出，這項操作預設為隱藏，缺乏使用者同意機制，且難以移除。該程式不僅預先授權了 3 個尚未安裝的瀏覽器擴充功能識別碼，檔案命名方式也未能清楚說明授權範圍，更預先授權尚未存在的瀏覽器使用原生訊息處理執行檔。

若擴充功能被觸發，輔助執行檔便能讀取使用者的瀏覽器登入狀態、網頁內容、自動填寫表單以及擷取螢幕畫面。

圖源：Alexander Hanff的文章　資安研究員指控Claude Code桌面版是「間諜軟體」

Hanff 指出，Anthropic 自家的安全數據顯示，Claude 的 Chrome 擴充功能在缺乏防禦措施下，面臨 23.6% 的提示注入攻擊成功率，而在現有防禦措施下成功率為 11.2%。

在使用者筆電預先安裝橋接器的情況下，針對該擴充功能的成功提示注入攻擊，將獲得一條入侵途徑，能透過擴充功能與橋接器，觸發在瀏覽器沙盒外以使用者權限運作的輔助執行檔。

他指責，Claude 桌面版的行為形同「暗黑模式」（詐欺性設計模式）與「間諜軟體」，這般跨越信任邊界的操作，嚴重侵犯使用者隱私。

可能違反歐盟法？

Hanff 跟數位顧問公司 Digital 520 創辦人 Noah M. Kenney 還指出，Claude 桌面版可能違反歐盟電子隱私指令第 5 條第 3 款的規定，該法規要求服務提供者必須提供明確資訊，並取得使用者同意。

Hanff 認為，撇除法律影響不談，這家被大眾認定致力於安全與隱私的公司，竟釋出這類似乎破壞其自身立場的工具，將帶來巨大的聲譽損害並失去使用者的信任。

不過，Kenney 對 Hanff 批評的「間諜軟體」一詞持保留態度，指出該程式並未主動竊取資料，但他同意歐洲監管機構對絕對必要的豁免條件解釋極為嚴格，未經明確同意便跨應用程式安裝整合功能，勢必將面臨極高的法規懲處風險。

Claude Code桌面版是間諜軟體嗎？外界看法兩極

工程師論壇 Hacker News 對這篇文章有兩極看法，部分工程師實測後確認有未經許可的安裝行為，並對 Claude 桌面版擅自修改其他獨立軟體設定感到不滿，認為破壞軟體間的基本信任。

另一派網友則認為，這純粹是原生訊息處理機制的標準運作方式，在沒有具體證據顯示該程式主動外洩資料前，稱其為間諜軟體似乎過於誇大。

前蘋果技術主管 Bogdan Grigorescu 也在 Linkedln 上呼籲，使用者應在虛擬機或專用的獨立設備上執行這類生成式 AI 工具，應盡量避免在處理個人財務與機密的主要電腦上安裝。

資安專家 Jason Packer 則指出，Anthropic 預先授權尚未在應用程式商店正式上架的擴充功能識別碼，這種作法在網路安全實務上是極度糟糕的示範。

Anthropic尚未回應，Claude倫理問題迎考驗

專攻 Mac 惡意軟體防毒工具的 Malwarebytes 認為，原生訊息處理確實是 Chromium 瀏覽器的標準合法機制，但 Claude 桌面版在未清楚告知使用者的情況下，將設定檔預先寫入多個瀏覽器路徑，毫無疑問地增加電腦設備的受攻擊面。

Malwarebytes評估後指出，由於 Claude 程式需要搭配特定的擴充功能才能完整運作，將此直接定調為間諜軟體有失公允。不過 Anthropic 絕對有更透明的實作方式，應讓使用者清楚了解系統變更內容，並自行評估風險後決定是否同意安裝。

截至各方報導發布為止，Anthropic 尚未對此發表任何官方聲明。《The Register》媒體與 Malwarebytes 都已向 Anthropic 提出新聞評論請求，但都還沒獲得回應。