TL;DR
Vulnerabilidade crítica: uma vulnerabilidade de zero clique nas extensões de desktop Claude expõe mais de 10.000 usuários à execução remota de código por meio de convites de calendário maliciosos. Método de ataque: A falha CVSS 10/10 permite que invasores comprometam sistemas sem interação do usuário, ocultando comandos em eventos do Google Agenda. Resposta do fornecedor: A Anthropic recusou-se a corrigir a vulnerabilidade, afirmando que ela está fora do seu modelo de ameaça atual para ferramentas de desenvolvimento local. Causa raiz: as extensões de desktop Claude são executadas com privilégios totais do sistema sem sandbox, ao contrário das extensões de navegador com permissões restritas.
Uma vulnerabilidade de zero clique divulgada esta semana no Claude Desktop Extensions permite que invasores comprometam sistemas por meio de convites maliciosos do Google Agenda. A falha expõe mais de 10.000 usuários à execução remota de código.
A empresa de segurança LayerX Security descobriu a falha, que permite que um único evento de calendário com instruções maliciosas ocultas acione o controle do sistema sem qualquer interação do usuário.
Falha de gravidade máxima afeta mais de 10.000 usuários
A vulnerabilidade obteve uma classificação CVSS 10/10, a pontuação de gravidade máxima. A falha afeta mais de 10.000 usuários ativos em mais de 50 extensões Claude Desktop distribuídas pelo mercado de extensões da Anthropic.
A exploração não requer cliques do usuário e pode ser acionada por avisos inocentes como “Verifique meu calendário e cuide disso”. A combinação de pontuação de gravidade máxima com ativação sem clique posiciona esta vulnerabilidade entre as vulnerabilidades de maior risco em aplicativos de desktop de IA. Armar as interações do calendário transforma fluxos de trabalho rotineiros em vetores de ataque silenciosos.
Como funciona o ataque
Compreender a gravidade requer examinar o próprio mecanismo de exploração. A vulnerabilidade está enraizada no Model Context Protocol (MCP) da Anthropic, que permite que Claude selecione e encadeie de forma autônoma diversas ferramentas para atender às solicitações dos usuários.
Um invasor envia um convite falso do Google Agenda com instruções maliciosas ocultas na descrição do evento. Quando um usuário pede a Claude para verificar seu calendário, a IA lê o evento envenenado e executa os comandos incorporados com acesso total ao sistema.
Os pesquisadores da LayerX explicaram o mecanismo de ataque:
“Se explorado por um malfeitor, até mesmo um prompt benigno (‘cuide disso’), juntamente com um evento de calendário redigido com códigos maliciosos, é suficiente para acionar a execução arbitrária de código local que compromete todo o sistema.”
Pesquisadores da LayerX, pesquisadores de segurança (via Segurança LayerX)
Os pesquisadores chamaram o método de ataque de “Ás de Ases” porque ele explora a tomada de decisão autônoma da IA para executar comandos maliciosos sem exigir prompts complexos do usuário.
A arquitetura sem sandbox cria riscos
Isso O ataque explora uma escolha de design fundamental nas extensões de desktop Claude. Ao contrário das extensões de navegador que são executadas em sandboxes, as Claude Desktop Extensions são executadas com privilégios totais do sistema.
As extensões podem ler arquivos, roubar credenciais e executar comandos sem limitações. A autonomia do MCP cria uma falha importante no limite de confiança, permitindo que dados de conectores de baixo risco, como o Google Agenda, fluam diretamente para executores locais de alto privilégio sem salvaguardas.
As extensões são executadas com privilégios totais do sistema, concedendo acesso a arquivos, credenciais, configurações do sistema e execução arbitrária de código. Esse projeto arquitetônico contrasta fortemente com as extensões de navegador modernas que operam em sandboxes isoladas com permissões restritas.
Anthropic Declines to Fix
Apesar da gravidade, a resposta da Anthropic surpreendeu os pesquisadores de segurança. A LayerX relatou a vulnerabilidade à Anthropic, mas a empresa decidiu não corrigi-la, dizendo que ela “está fora do nosso modelo de ameaça atual”.
Em um comunicado, a Anthropic explicou sua justificativa:
“A integração MCP do Claude Desktop é projetada como uma ferramenta de desenvolvimento local que opera dentro do próprio ambiente do usuário. permissões”
Anthropic, porta-voz da empresa (via Infosecurity)
A empresa disse que os usuários deveriam tenha o mesmo cuidado ao instalar servidores MCP e ao instalar software de terceiros.
Implicações de segurança
A decisão do fornecedor levanta questões mais amplas sobre responsabilidade na era da IA. Roy Paz, pesquisador principal de IA da LayerX Security, disse ao eSecurityPlanet que essas explorações demonstram o obstáculo das ferramentas de produtividade de IA: desbloquear os benefícios da IA exige dar a essas ferramentas acesso profundo a dados confidenciais.
A controvérsia destaca questões mais amplas sobre a responsabilidade pela segurança da IA. Embora a Anthropic enquadre a questão como um problema de responsabilidade do usuário comparável à instalação de software de terceiros, os pesquisadores de segurança argumentam que o próprio projeto arquitetônico cria riscos inaceitáveis.
O debate gira em torno de se os aplicativos de desktop de IA devem ser tratados como ferramentas de desenvolvimento onde os usuários aceitam riscos, ou software de consumo onde os fornecedores são responsáveis pela segurança. Embora a vulnerabilidade tenha sido divulgada, os pesquisadores enfatizaram que a pontuação máxima do CVSS reflete a gravidade potencial se os invasores usarem a técnica como arma.
Para equipes de segurança corporativa, a integração do calendário por si só cria um caminho persistente de execução remota de código em ferramentas comercializadas para produtividade geral.
