Claude 扩展曝高危漏洞：无需交互即可远程攻击上万用户

安全研究公司LayerX新发现的一个严重漏洞，暴露了大型语言模型（LLM）在处理信任边界方面存在的基础性架构缺陷。

Claude 桌面扩展（DXT）中的这一“零点击”远程代码执行漏洞，使攻击者仅需通过一个恶意构造的Google日历事件，即可完全攻陷用户系统。

该漏洞由LayerX评定为CVSS满分10分，影响超过10,000名活跃用户及50多个DXT扩展。它凸显了模型上下文协议生态系统中的一个危险缺口：AI代理能够在未经用户同意的情况下，自主地将低风险数据源与高权限执行工具串联起来。

问题的核心在于Claude桌面扩展的架构。与运行在严格沙盒环境中的现代浏览器扩展（如Chrome的.crx文件）不同，Claude的MCP服务器在主机上以完整的系统权限运行。这些扩展并非被动插件，而是AI模型与本地操作系统之间的主动桥梁。

据LayerX指出，这种沙盒隔离的缺失意味着，一旦扩展被诱骗执行命令，它将拥有与当前用户相同的权限，从而能够读取任意文件、访问存储的凭据以及修改操作系统设置。



该漏洞的利用无需复杂的提示工程或受害者的直接交互来触发攻击载荷。其攻击载体简单得令人震惊：仅需一个Google日历事件。

在研究人员描述的名为 “王牌中的王牌” 的攻击场景中，攻击者邀请受害者参加一个名为“任务管理”的日历事件（或将其注入到一个共享日历中）。该事件的描述中包含指示，要求克隆一个恶意的Git仓库并执行其中的makefile。

当用户随后向Claude提出一个看似无害的请求，例如“请查看我Google日历中的最新事件并替我处理一下”时，模型自主地将“替我处理”这一指令，解释为授权去执行在日历事件中发现的任务。

由于没有硬编码的安全措施来阻止数据从低信任度的连接器（Google日历）流向高信任度的本地执行器（桌面命令工具），Claude便会执行以下操作：

• 从日历中读取恶意指令。
  
  
• 使用本地的MCP扩展从攻击者的仓库执行 git pull。
  
  
• 执行下载的 make.bat 文件。
  

整个攻击序列在执行时，没有任何针对代码运行的具体确认提示，最终导致系统完全被攻陷。 用户以为只是在请求日程更新，而AI代理却悄然将系统的控制权拱手让给了攻击者。

此漏洞的独特之处在于，它并非传统意义上的软件漏洞（如缓冲区溢出），而是一种 “工作流失效” 。缺陷在于LLM的自主决策逻辑中。

Claude的设计初衷是提供帮助并自主运行，能够串联各种工具来满足请求。然而，它缺乏相应的上下文理解能力，无法认识到来自日历这类公开来源的数据，绝不应被直接输送至高权限的执行工具中。

LayerX的报告指出：“这在LLM驱动的工作流中造成了系统级的信任边界违规。 将良性数据源自动桥接到高权限执行上下文中，从根本上是不安全的。”

LayerX已向Claude的创建者Anthropic公司披露了这些发现。令人意外的是，据报道该公司目前决定不修复此问题，很可能是因为此行为与MCP自主性和互操作性的设计初衷相符。若要修复，就需要对模型串联工具的能力施加严格限制，而这可能会降低其实用性。

在补丁或架构变更实施之前，LayerX建议，对于安全性要求高的系统，应将MCP连接器视为不安全。

研究团队建议，如果用户同时使用了会摄取外部非信任数据（如电子邮件或日历）的连接器，则应断开高权限本地扩展的连接。

随着AI代理从聊天机器人演变为活跃的操作系统助手，其攻击面已经转移。这个“零点击”远程代码执行漏洞是一个警告：赋予AI代理访问我们数字生活的权限，也让我们暴露在能够操控其数据的人面前。 让AI处理任务的便利性，伴随着重大的安全风险。