TL;DR
Vulnerabilidad crítica: una vulnerabilidad sin clic en Claude Desktop Extensions expone a más de 10 000 usuarios a la ejecución remota de código a través de invitaciones de calendario maliciosas. Método de ataque: la falla CVSS 10/10 permite a los atacantes comprometer los sistemas sin la interacción del usuario al ocultar comandos en los eventos de Google Calendar. Respuesta del proveedor: Anthropic se negó a solucionar la vulnerabilidad, afirmando que queda fuera de su modelo de amenaza actual para herramientas de desarrollo local. Causa raíz: Claude Desktop Extensions se ejecuta con privilegios completos del sistema sin espacio aislado, a diferencia de las extensiones de navegador con permisos restringidos.
Una vulnerabilidad sin clic revelada esta semana en Claude Desktop Extensions permite a los atacantes comprometer los sistemas a través de invitaciones maliciosas de Google Calendar. La falla expone a más de 10.000 usuarios a la ejecución remota de código.
La empresa de seguridad LayerX Security descubrió la falla, que permite que un único evento del calendario con instrucciones maliciosas ocultas active la toma de control del sistema sin ninguna interacción del usuario.
La falla de gravedad máxima afecta a más de 10.000 usuarios
La vulnerabilidad obtuvo una calificación CVSS 10/10, la puntuación de gravedad máxima. La falla afecta a más de 10,000 usuarios activos en más de 50 extensiones de Claude Desktop distribuidas a través del mercado de extensiones de Anthropic.
El exploit no requiere clics del usuario y puede activarse mediante mensajes inocentes como”Revisa mi calendario y manéjalo”. La combinación de puntuación de gravedad máxima con activación sin clic posiciona esta vulnerabilidad entre las de mayor riesgo en las aplicaciones de escritorio de IA. Utilizar las interacciones del calendario como armas transforma los flujos de trabajo rutinarios en vectores de ataque silenciosos.
Cómo funciona el ataque
Comprender la gravedad requiere examinar el mecanismo de explotación en sí. La vulnerabilidad tiene su origen en el Protocolo de contexto modelo (MCP) de Anthropic, que permite a Claude seleccionar y encadenar de forma autónoma varias herramientas para satisfacer las solicitudes de los usuarios.
Un atacante envía una invitación falsa a Google Calendar con instrucciones maliciosas ocultas en la descripción del evento. Cuando un usuario le pide a Claude que revise su calendario, la IA lee el evento envenenado y ejecuta los comandos integrados con acceso total al sistema.
Los investigadores de LayerX explicaron el mecanismo de ataque:
“Si es explotado por un mal actor, incluso un mensaje benigno (“cuídate”), junto con un evento de calendario malicioso, es suficiente para desencadenar la ejecución de código local arbitrario que compromete todo el sistema”.
Investigadores de LayerX, investigadores de seguridad (a través de LayerX Security)
Los investigadores denominaron el método de ataque”As de ases”porque explota la toma de decisiones autónoma de la IA para ejecutar comandos maliciosos sin requerir indicaciones complejas para el usuario.
La arquitectura sin espacio aislado crea riesgos
Este ataque explota una elección de diseño fundamental en Claude Desktop Extensions. A diferencia de las extensiones de navegador que se ejecutan en entornos aislados, Claude Desktop Extensions se ejecuta con privilegios completos del sistema.
Las extensiones pueden leer archivos, robar credenciales y ejecutar comandos sin limitaciones. La autonomía de MCP crea una falla clave en el límite de confianza, lo que permite que los datos de conectores de bajo riesgo como Google Calendar fluyan directamente a ejecutores locales con altos privilegios sin salvaguardias.
Las extensiones se ejecutan con privilegios completos del sistema, otorgando acceso a archivos, credenciales, configuraciones del sistema y ejecución de código arbitrario. Este diseño arquitectónico contrasta marcadamente con las extensiones de navegador modernas que operan en entornos aislados con permisos restringidos.
Anthropic rechaza solucionarlo
A pesar de la gravedad, la respuesta de Anthropic ha sorprendido a los investigadores de seguridad. LayerX informó la vulnerabilidad a Anthropic, pero la compañía decidió no solucionarla, diciendo que”queda fuera de nuestro modelo de amenaza actual”.
En una declaración, Anthropic explicó su fundamento:
“La integración MCP de Claude Desktop está diseñada como una herramienta de desarrollo local que opera dentro del propio entorno del usuario. Los usuarios configuran y otorgan permisos explícitamente a los servidores MCP que eligen ejecutar localmente, y estos servidores tienen acceso a los recursos basados en los permisos del usuario”
Anthropic, portavoz de la empresa (a través de Infosecurity)
La empresa dijo que los usuarios deberían tenga la misma precaución al instalar servidores MCP que al instalar software de terceros.
Implicaciones de seguridad
La decisión del proveedor plantea preguntas más amplias sobre la responsabilidad en la era de la IA. Roy Paz, investigador principal de IA en LayerX Security, dijo a eSecurityPlanet que estos exploits demuestran el problema de las herramientas de productividad de IA: desbloquear los beneficios de la IA requiere brindar a estas herramientas un acceso profundo a datos confidenciales.
La controversia resalta preguntas más amplias sobre la responsabilidad de la seguridad de la IA. Si bien Anthropic enmarca el problema como un problema de responsabilidad del usuario comparable a la instalación de software de terceros, los investigadores de seguridad argumentan que el diseño arquitectónico en sí crea un riesgo inaceptable.
El debate se centra en si las aplicaciones de escritorio de IA deben ser tratadas como herramientas de desarrollo donde los usuarios aceptan riesgos, o como software de consumo donde los proveedores asumen la responsabilidad de la seguridad. Si bien se ha revelado la vulnerabilidad, los investigadores enfatizaron que la puntuación CVSS máxima refleja la gravedad potencial si los atacantes utilizan la técnica como arma.
Para los equipos de seguridad empresarial, la integración del calendario por sí sola crea una vía persistente de ejecución remota de código en herramientas comercializadas para la productividad general.
