Claude Desktop 在 macOS 平台上存在一个尚未被广泛披露的技术行为:它在用户不知情的情况下,向多个 Chromium 内核浏览器的原生消息主机目录写入桥接配置文件,从而建立一条从浏览器扩展到本地 Claude 二进制程序的通信通道。这一机制虽然源自标准的 Chrome 原生消息协议,但其隐蔽安装、跨多浏览器预授权且缺乏用户明确同意的特性,引发了显著的安全与隐私争议。
原生消息桥的技术原理
原生消息(Native Messaging)是 Chromium 浏览器提供的一种扩展与本地可执行程序通信的标准机制。当浏览器扩展需要执行超出沙箱限制的操作时,例如读写本地文件或调用系统级 API,它会通过浏览器原生消息主机与预先注册的本地程序进行 JSON 格式的消息交互。关键的权限模型在于:这种通信在浏览器沙箱之外执行,运行在用户本人生成的全部权限上下文中,而非浏览器扩展的受限作用域。
Claude Desktop 利用这一机制的方式较为激进。根据安全研究人员的逆向分析,Claude Desktop 在首次运行时会在以下路径批量写入原生消息清单文件:~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/、~/Library/Application Support/Google/Chrome/NativeMessagingHosts/ 以及其他 Chromium 衍生浏览器的对应目录。清单文件通常命名为 com.anthropic.claude_browser_extension.json,其中声明了本地可执行文件的路径以及授权的浏览器扩展 ID 列表。
隐蔽安装的权限风险
这种实现方式带来了几个层面的安全考量。首先是预授权问题的扩大化。传统上,原生消息主机的安装需要用户主动在浏览器设置中批准,且每次新增扩展时都会触发明确的权限提示。但 Claude Desktop 在扩展尚未安装、甚至目标浏览器可能完全不存在于系统中的情况下,就预先写入了桥接清单。这意味着当用户后续安装任何声称与 Claude 相关的浏览器扩展时,该扩展将自动获得调用本地桥接程序的权限,跳过了常规的授权流程。
其次是攻击面的实质扩展。由于桥接程序以用户完整权限运行,理论上任何成功注入浏览器的恶意扩展都可以通过这条预置通道调用本地二进制文件,执行文件操作、命令执行或数据窃取等高权限行为。安全研究人员将其类比为一种供应链层面的隐蔽入口,尽管目前没有证据表明 Anthropic 本身存在恶意行为,但这种架构设计本身降低了攻击者的入侵门槛。
隐私与合规争议
从隐私治理的角度来看,核心问题在于知情同意的缺失。用户在安装 Claude Desktop 时并未被明确告知会修改多个浏览器的原生消息配置,也没有任何安装向导或权限对话框揭示这一行为。部分安全评论指出,这种做法可能涉及欧盟《通用数据保护条例》中关于数据处理的透明性要求,因为本地桥接程序理论上可以在用户使用浏览器时被动接收来自扩展的消息内容,尽管实际的数据流向目前尚未被完全澄清。
另一个值得关注的细节是,Claude Desktop 的这套桥接机制独立于官方文档中描述的 Claude Code 原生消息集成。Claude Code 的原生消息功能需要用户在终端中手动配置,且有明确的权限说明。而 Desktop 版本在桌面端静默写入的行为形成了技术实现上的不一致,进一步加剧了外界对透明度的质疑。
本地权限边界评估
从操作系统权限模型的角度审视,Claude Desktop 的桥接程序运行在用户态的完整权限域内,不受 macOS 应用沙箱的约束。这意味着它可以访问用户主目录下的大部分资源,包括但不限于文档、下载项、密钥链条目(如果已获得授权)以及调用任意本地命令。对于一个桌面 AI 助手而言,这种权限范围在功能上可能是必要的,但在安全架构上应当通过更精细的沙箱隔离来限制潜在的滥用场景。
对比行业实践,主流桌面 AI 应用通常采用权限分离设计:核心功能运行在受限进程中,仅在明确用户操作触发时临时提升权限。而 Claude Desktop 将桥接程序预先植入多个浏览器的信任路径,形成了一种持久的、隐式的跨进程信任关系,这种设计理念与零信任安全原则存在根本冲突。
用户审计与缓解建议
对于关心系统安全状态的用户,以下检查步骤可以评估本地环境的受影响程度。使用终端检查是否存在相关清单文件:ls -la ~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/ 以及针对其他已安装浏览器的对应路径。如果发现名为 com.anthropic.claude_browser_extension.json 或类似的文件,查看其内容确认指向的可执行文件路径。进一步地,在各浏览器中检查已安装的扩展列表,识别任何与 Claude 相关的扩展 ID,并评估其是否为您主动安装。
在缓解措施层面,最直接的方式是删除发现的所有原生消息清单文件,随后在浏览器设置中重置原生消息相关的权限。若计划继续使用 Claude Desktop,建议关注 Anthropic 官方后续发布的安全更新或权限控制说明。长期来看,在企业或高安全需求场景中,考虑使用 Claude Code 而非 Desktop 版本,或通过虚拟机 / 容器环境隔离 Claude Desktop 的运行上下文,以限制其对宿主系统的权限影响。
Claude Desktop 的原生消息桥接机制揭示了桌面 AI 应用在权限设计与透明度之间面临的工程权衡。桥接功能本身在技术上是实现浏览器自动化与文件操作的标准手段,但其预安装、跨多浏览器、未经授权的部署方式构成了实质性的用户知情权侵害与潜在攻击面。在缺乏明确用户告知与可控配置选项的前提下,建议用户将该行为纳入安全评估的考量范围,并根据自身威胁模型采取相应的审计或限制措施。
资料来源:安全研究人员对 Claude Desktop 原生消息清单的逆向分析报告;The Register 关于 Claude Desktop 权限变更的公开报道。