Claude Desktop Extension RCE

Расширение Claude Desktop Extension приводит к уязвимости удаленного выполнения кода с нулевого клика, основанной на косвенной инъекции запроса, из-за отсутствия песочницы в архитектуре и предоставления полных системных привилегий агенту ИИ. Уязвимость использует недостаток дизайна протокола MCP, в котором отсутствуют границы доверия, что позволяет злоумышленнику добиться выполнения произвольного кода путем заражения внешних источников данных. Несмотря на высочайший рейтинг риска, производитель отказался устранить уязвимость, сославшись на то, что она "выходит за рамки модели угроз", что вызвало широкую полемику по поводу разделения ответственности за безопасность в эпоху ИИ. Этот случай подчеркивает фундаментальные риски безопасности систем агентов ИИ с точки зрения контроля привилегий и проверки входных данных.
Ключевые моменты включают:
1. архитектура без песочницы с высокими привилегиями: Claude DXT работает как локальный MCP-сервер, отделенный от песочницы браузера, наследуя все системные привилегии от пользователя, что создает высокий риск атак.
2. Косвенная инъекция с нулевым кликом: злоумышленник внедрял вредоносные команды в легитимные источники данных, такие как Google Calendar, побуждая ИИ-агент получать и ошибочно выполнять их самостоятельно, без вмешательства пользователя.
3. Нарушение границ доверия в протоколе MCP: протокол Model Context Protocol позволяет выводить малоопасные операции на прямой запуск высокоопасных системных вызовов, что приводит к уязвимости "обфусцированного агента", которая делает ИИ плацдармом для атак.