Claude桌面版遭质疑「间谍软件」！未经同意就改存取设置，疑违反欧盟法

研究员指控 Claude 桌面版未经同意於多款瀏覽器植入设定檔，引发「间諜软體」爭议与違反歐盟隐私法疑慮。外界看法两極，專家呼籲官方应提升透明度以保障资安。

资安研究員指控Claude桌面版是「间諜软體」

你安裝过 Claude 桌面版嗎？资安研究員 Alexander Hanff 近日发文稱，Claude 的桌面版应用程式，会在未经使用者同意的情況下，悄悄於电腦中安裝了瀏覽器原生訊息處理的设定檔案。

Hanff 在檢查 Mac 电腦时发现，該程式在 Brave、Google Chrome、Edge、Arc、Vivaldi 与 Opera 等多达 7 款 Chromium 架構瀏覽器的资料夾內，寫入了特定设定檔，这項寫入操作甚至涵蓋使用者当下尚未安裝的瀏覽器软體。

他指出，这項操作预设为隐藏，缺乏使用者同意机制，且难以移除。該程式不僅预先授權了 3 个尚未安裝的瀏覽器擴充功能识別碼，檔案命名方式也未能清楚说明授權範圍，更预先授權尚未存在的瀏覽器使用原生訊息處理執行檔。

若擴充功能被觸发，輔助執行檔便能读取使用者的瀏覽器登入狀態、網頁內容、自动填寫表單以及擷取螢幕畫面。

圖源：Alexander Hanff的文章　资安研究員指控Claude Code桌面版是「间諜软體」

Hanff 指出，Anthropic 自家的安全數據顯示，Claude 的 Chrome 擴充功能在缺乏防禦措施下，面臨 23.6% 的提示注入攻擊成功率，而在现有防禦措施下成功率为 11.2%。

在使用者筆电预先安裝橋接器的情況下，針对該擴充功能的成功提示注入攻擊，將獲得一條入侵途徑，能透过擴充功能与橋接器，觸发在瀏覽器沙盒外以使用者權限运作的輔助執行檔。

他指责，Claude 桌面版的行为形同「暗黑模式」（詐欺性设计模式）与「间諜软體」，这般跨越信任边界的操作，嚴重侵犯使用者隐私。

可能違反歐盟法？

Hanff 跟數位顾问公司 Digital 520 創辦人 Noah M. Kenney 还指出，Claude 桌面版可能違反歐盟电子隐私指令第 5 條第 3 款的規定，該法規要求服務提供者必須提供明確资訊，並取得使用者同意。

Hanff 认为，撇除法律影響不談，这家被大眾认定致力於安全与隐私的公司，竟釋出这類似乎破壞其自身立场的工具，將帶来巨大的聲譽損害並失去使用者的信任。

不过，Kenney 对 Hanff 批評的「间諜软體」一詞持保留態度，指出該程式並未主动竊取资料，但他同意歐洲監管机構对絕对必要的豁免條件解釋極为嚴格，未经明確同意便跨应用程式安裝整合功能，勢必將面臨極高的法規懲處风险。

Claude桌面版是间諜软體嗎？外界看法两極

工程師論壇 Hacker News 对这篇文章有两極看法，部分工程師实測后確认有未经許可的安裝行为，並对 Claude 桌面版擅自修改其他獨立软體设定感到不滿，认为破壞软體间的基本信任。

另一派網友則认为，这純粹是原生訊息處理机制的標準运作方式，在沒有具體证據顯示該程式主动外洩资料前，稱其为间諜软體似乎过於誇大。

前蘋果技術主管 Bogdan Grigorescu 也在 Linkedln 上呼籲，使用者应在虛擬机或專用的獨立设備上執行这類生成式 AI 工具，应盡量避免在處理个人财務与机密的主要电腦上安裝。

资安專家 Jason Packer 則指出，Anthropic 预先授權尚未在应用程式商店正式上架的擴充功能识別碼，这種作法在網路安全实務上是極度糟糕的示範。

Anthropic尚未回应，Claude倫理问題迎考验

專攻 Mac 惡意软體防毒工具的 Malwarebytes 认为，原生訊息處理確实是 Chromium 瀏覽器的標準合法机制，但 Claude 桌面版在未清楚告知使用者的情況下，將设定檔预先寫入多个瀏覽器路徑，毫无疑问地增加电腦设備的受攻擊面。

Malwarebytes評估后指出，由於 Claude 程式需要搭配特定的擴充功能才能完整运作，將此直接定调为间諜软體有失公允。不过 Anthropic 絕对有更透明的实作方式，应让使用者清楚了解系统變更內容，並自行評估风险后決定是否同意安裝。

截至各方报導发布为止，Anthropic 尚未对此发表任何官方聲明。《The Register》媒體与 Malwarebytes 都已向 Anthropic 提出新聞評論请求，但都还沒獲得回应。