Claude Desktop Reportedly Adds Browser Access Bridge for Chromium Browsers
2026/04/24 gbhackers — 2026年04月18日に明らかになったのは、複数の Chromium 系ブラウザに対して Anthropic の Claude Desktop (macOS 版) が、Native Messaging ブリッジをサイレント・インストールしていることだ。研究者 Alexander Hanff が公開した詳細なレポートによると、この無通知のインストールは、ユーザーの明示的な同意と標準的なアプリケーション・セキュリティ境界を回避し、”out-of-sandbox” ブラウザ自動化フックを構築するものであり、プライバシーとセキュリティのリスクを引き起こすものだ。
調査の中心となったのは “com.anthropic.claude_browser_extension.json” という Native Messaging マニフェスト・ファイルである。Alexander Hanff によると、Claude Desktop は 7 種類の Chromium ブラウザのアプリケーション・サポート・ディレクトリへ、この設定ファイルを書き込む。具体的には、Google Chrome/Brave/Microsoft Edge/Chromium/Arc/Vivaldi/Opera が対象となっている。
Alexander Hanff が別プロジェクトのデバッグ中に、自身の MacBook 上で、このファイルを発見した。Claude Desktop は、ユーザー環境に存在しないブラウザや、Anthropic が非対応と公表しているブラウザに対してもブリッジをインストールする。さらに、このアプリケーションが起動されるたびにファイルが再生成されるため、アンインストールしない限り手動削除は無効である。
Native Messaging ブリッジは事前認可されたバックドアとして機能する。3 つの特定 Chrome エクステンション ID に対し、Claude.app バンドル内のローカル実行ファイル (chrome-native-host) を常時起動可能とする。重要な点は、この実行ファイルがブラウザ・サンドボックス外で動作し、ユーザーレベル権限を持つことだ。
Claude Desktop によるブラウザ・アクセス機能
Anthropic の公式ドキュメントによると、対応エクステンションが有効化されている場合に、このブリッジは強力なブラウザ自動化機能を提供する。
そこに含まれるのは、DOM 全体状態の取得/構造化 Web ページ情報の抽出/認証済みセッションのログイン状態共有/自動フォーム入力/バックグラウンド・スクリーン録画などである。この権限により、銀行システム/税務システム/本番インフラ管理コンソールなどの高機密サイトに対して、ログイン済みユーザーとしての操作が可能となる。
これらの機能により、ローカルの攻撃面積が大きく拡大する。現時点の対策を施した状態でも、Claude for Chrome はプロンプト・インジェクション攻撃に対して 11.2% の成功率を許すと、Anthropic のデータが示している。
“bridged” エクステンションに対するプロンプト・インジェクションが成功すると、事前インストールされたブリッジを悪用する攻撃者は、ローカル・マシン上で out-of-sandbox コード実行が可能となる。
さらに、3 つの事前認可エクステンションのいずれかが、悪意のアップデートやサプライチェーン攻撃により侵害されると、攻撃者は即座にユーザーレベル・アクセスを取得する。
Alexander Hanff は、この挙動に対して、意図的なダークパターンであると指摘している。それは、EU ePrivacy Directive (Directive 2002/58/EC) および各種コンピュータの不正アクセス法に対する違反である。彼は、このブリッジがブラウザ信頼モデルを回避し、ユーザーに認識されない持続的フックを残すため、それらの機能を使用していない状態でも安全とは言えないと強調している。
対策
セキュリティ/プライバシー専門家たちが、Anthropic に対して強く推奨するのは、厳格な “opt-in” モデルへの移行である。
そこに含まれるのは、ブラウザ統合前の明示的な同意の取得/ユーザーが選択した対応ブラウザのみに限定したインストール/権限管理および取り消しを可能とする透明な設定機能の提供である。
この設計の問題が解決されるまで、macOS 上で Claude Desktop を利用する組織は、com.anthropic.claude_browser_extension.json マニフェストの存在を監査し、内部のセキュリティ/データ保護ポリシーへの適合性を確認する必要がある。
訳者後書:日常的に利用される Claude Desktop が、ユーザーには何も知らせずに、ブラウザの安全な境界を越えているリスクについて紹介する記事です。この問題の原因は、インストールや起動の際に、Claude Desktop がユーザーの同意なしにブラウザの外部連携機能 Native Messaging を自動的に設定してしまう点にあります。この仕組みにより、特定のブラウザ・エクステンションがブラウザの保護領域 (サンドボックス) の外側で、コンピュータ上のプログラムを直接操作できるようになります。このブリッジが悪用されると、Web サイト上の悪意ある指示 (プロンプト・インジェクション) を通じて、銀行のログイン情報や機密データが読み取られたり、最悪の場合はコンピュータ自身が遠隔操作される恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Prompt Injection での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.