Компания LayerX, специализирующаяся на кибербезопасности и базирующаяся в Тель-Авиве, заявила об обнаружении уязвимости удаленного выполнения кода с нулевым кликом в расширениях Claude Desktop Extensions, которую можно активировать путем обработки записи в Google Календаре.
LayerX утверждает, что компания Anthropic, будучи проинформированной о проблеме, заслуживающей оценки CVSS 10/10, решила не устранять ее.
Claude Desktop Extensions, недавно переименованные в MCP Bundles, представляют собой упакованные приложения, расширяющие возможности Claude Desktop с использованием протокола Model Context Protocol (MCP) — стандартного способа предоставления генеративным моделям ИИ доступа к другому программному обеспечению и данным. Они хранятся в виде файлов .dxt (Anthropic переводит формат на .mcpb) и представляют собой ZIP-архивы, содержащие локальный сервер MCP и файл manifest.json, описывающий возможности расширения.
На веб-странице хаба Claude Desktop Extensions утверждается, что расширения безопасны и проходят проверку безопасности. «Расширения работают в изолированных средах с явными элементами управления разрешениями, а корпоративные функции включают поддержку групповых политик и блокировку расширений», — поясняется в FAQ.
LayerX придерживается иного мнения. По словам главного исследователя безопасности Роя Паза, расширения Claude Desktop «выполняются без изоляции и с полными привилегиями в хост-системе».
Паз сообщил изданию The Register: «По своей сути, вы не можете изолировать что-либо, если ожидается, что оно будет иметь полный доступ к системе. Возможно, они контейнеризируют это, но это не то же самое. По сравнению с Windows Sandbox, Sandboxie или VMware, контейнер Claude DXT заметно уступает тому, что ожидается от песочницы. С точки зрения злоумышленника, это эквивалентно установке кода здания на 1234, а затем оставлению его незапертым, потому что запирание помешает курьерам входить и выходить».
Паз утверждает, что уязвимость возникает из-за того, что Claude обрабатывает ввод из общедоступных коннекторов, таких как Google Календарь, и сама модель ИИ решает, какие установленные MCP-коннекторы следует использовать для выполнения запроса.
В результате, когда присутствуют расширения с рискованными возможностями, такими как доступ к командной строке, расширения с менее опасными возможностями могут стать вектором атаки. В данном случае событие в Google Календаре было использовано для предоставления Claude вредоносных инструкций, которые затем модель использовала для загрузки, компиляции и выполнения вредоносного кода.
«Нет никаких жестко закодированных защитных механизмов, которые бы мешали Claude создавать некорректный или опасный рабочий процесс», — утверждает Паз. «Следовательно, данные, извлеченные из относительно низкорискового коннектора (Google Календарь), могут быть напрямую переданы локальному серверу MCP с возможностями выполнения кода».
То, что описывает Паз, является формой косвенной инъекции промпта — модели ИИ, которые читают веб-страницы, другие документы или элементы интерфейса, могут интерпретировать этот контент как инструкции. Это известная, нерешенная проблема, которая может объяснить кажущуюся незаинтересованность Anthropic в отчете LayerX.
В данном случае Паз обнаружил, что когда Claude получает указание обработать событие в Google Календаре (активированное расширением), он выполнит содержащиеся в нем вредоносные инструкции, если у него есть доступ к соответствующим инструментам MCP (например, Desktop Commander, сервер MCP для предоставления доступа к терминалу).
Паз представил Claude промпт: «Пожалуйста, проверь мои последние события в Google Календаре, а затем позаботься о них для меня», после чего модель ИИ просканировала событие, увидела задачу, содержащую инструкции по загрузке, компиляции и запуску кода доказательства концепции, а затем выполнила эту задачу.
«Это не требует никакого взаимодействия с пользователем, никаких подтверждающих запросов и никаких явных запросов на автоматизацию на уровне системы», — заявил Паз в своем посте. «Результатом является полное удаленное выполнение кода, заслуживающее оценки CVSS 10/10».
Риск для пользователей Claude заключается в том, что какой-нибудь злоумышленник может отправить приглашение в Google Календарь, содержащее инструкции по загрузке вредоносного ПО. Все, что потребуется для активации уязвимости, — это попросить Claude обработать событие, и чтобы у Claude был доступ к терминалу, при условии отсутствия других реализованных мер защиты.
По словам Паза, «LayerX обратилась к Anthropic с нашими выводами, но компания решила не исправлять это в настоящее время».
Паз предоставил нам копию ответа Anthropic на отчет об уязвимости:
После рассмотрения вашего отчета мы пришли к выводу, что это выходит за рамки нашей текущей модели угроз. Интеграция MCP в Claude Desktop разработана как локальный инструмент разработки, работающий в собственной среде пользователя. Пользователи явно настраивают и предоставляют разрешения серверам MCP, которые они выбирают для запуска локально, и эти серверы имеют доступ к ресурсам в соответствии с разрешениями пользователя.
Описанный вами сценарий включает взаимодействие между несколькими MCP-коннекторами, которые пользователь намеренно установил и разрешил запускать без запроса разрешений. Поскольку пользователи сохраняют полный контроль над тем, какие MCP-серверы они включают и какие разрешения имеют эти серверы, граница безопасности определяется выбором конфигурации пользователя и существующими средствами контроля безопасности его системы.
The Register запросил комментарии у Anthropic, но ответа не получил. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Thomas Claburn
