按语：安天CERT在2026年6月12日发布了《AI时代的沙丘坍塌——TeamPCP攻击模式下的供应链安全挑战》报告后，有网友回复希望更多了解桌面端智能体的安全性问题，因此我们公布这篇此前未发布报告，以Claude Desktop未授权通道风险为例解析当下的桌面智能体的安全风险。

1. 引言

2026年4月，隐私安全研究员Alexander Hanff公开披露Anthropic旗下Claude Desktop macOS客户端存在高危静默行为。该客户端在无用户授权、无弹窗告知、无操作提示的前提下，自动向Chrome、Edge、Brave、Arc、Vivaldi、Opera等Chromium内核的浏览器的系统目录写入Native Messaging授权配置文件，静默打通浏览器与本地终端的高权限通信通道。

该行为具备超前预埋、全场景覆盖、自动复活三大核心特征：设备未安装对应浏览器也会主动创建目录并预埋配置文件，后续新装浏览器将自动激活授权通道；用户手动删除配置文件后，重启Claude Desktop将自动重新生成，形成持久化驻留效果。事件曝光后，相关安全研究人员结合Claude生态PromptInjection提示词注入缺陷与MCP协议高权限调用能力，完成原理分析与攻击链路推演，证实该结构性设计缺陷具备被远程入侵利用的完整前置条件与理论可行性。Anthropic后续通过版本迭代新增授权开关，但底层权限模型与核心攻击面未彻底根除。

2. 技术机理与行为分析

2.1. MCP 与Native Messaging架构原理

MCP（Model Context Protocol，模型上下文协议）已经成为了统一大模型应用（AI Agent/IDE/ 对话客户端）与外部数据源、工具、业务系统的双向通信标准，该协议正是Anthropic（Claude 开发方）2024年11月开源的厂商标准协议，2025 年底捐赠给 Linux 基金会 Agentic AI 基金会，目前成为了行业通用规范。作为 Claude 系列产品的通用交互协议，支持多类型传输层适配，可满足本地进程通信、远程服务调用、浏览器集成等不同业务场景。

Native Messaging是Chromium生态标准通信机制，支持浏览器扩展调用本地原生可执行程序。该机制下本地程序完全脱离浏览器沙箱，持有当前登录用户完整系统权限，可读取网页DOM数据、Cookie会话凭证、表单账号密码，支持页面自动化操作、数据批量抓取与本地接口调用，属于浏览器最高风险权限接口之一，行业标准要求必须经用户显性授权后方可启用。其工作流程：浏览器扩展 (Extension) ——> 通过标准输入/输出 (stdio) 通信Native Messaging Host (本地可执行文件) ——> 读取配置文件确定路径——>Manifest JSON 文件 (位于浏览器配置目录)

不同传输层的通信机制、应用场景与权限边界存在显著差异，其中仅 Chromium Native Messaging 传输模式绑定高危浏览器本地通道，也是本次安全事件的核心关联架构。各传输层技术特征对比如下：

表格 2-1 MCP各传输层技术特征对比

传输类型	通信方式	典型场景	是否使用 Native Messaging
stdio	标准输入/输出（JSON-RPC）	本地进程间通信	否（直接子进程通信）
SSE	Server-Sent Events (HTTP)	远程 MCP Server	否
HTTP/Streamable HTTP	HTTP POST/GET	远程 MCP Server	否
Chromium Native Messaging	浏览器扩展 ↔ 本地 Host	浏览器集成场景	是（仅特定客户端）

相较于 MCP 标准的 stdio、HTTP、SSE 传输模式，Chromium Native Messaging 传输层具备独有的技术局限性与安全风险，也是本次Claude Desktop静默预埋高危通道的技术根源，核心风险特性如下：

1. 平台强绑定特性：该传输机制仅适配 Chromium 内核浏览器，涵盖 Chrome、Edge、Brave、Arc 等主流终端浏览器，覆盖用户终端绝大部分上网场景，攻击面覆盖面极广。

2. 部署侵入性强：不同于常规MCP传输模式无需修改系统配置，Native Messaging 模式必须向浏览器系统配置目录写入 manifest 清单文件，属于主动篡改第三方软件配置的侵入式部署行为。

3. 权限模型高危特殊：Native Messaging Host 本地进程完全运行在浏览器安全沙箱之外，持有当前系统登录用户的完整操作权限，权限等级远高于标准网页与扩展权限，一旦被利用可直接突破浏览器安全边界。

4. 调用场景封闭且隐蔽：该通道仅支持浏览器扩展触发调用，无法被通用MCP客户端识别与调用，常规监控工具无法感知通道运行状态，隐蔽性极强，同时专属调用机制导致安全审计与行为溯源难度大幅提升。

综上，MCP协议本身属于通用AI交互协议，本身无固有高危风险，但Claude Desktop强制默认启用、静默部署高风险的Native Messaging传输层，摒弃安全可控的标准传输模式，形成了协议设计与产品落地的结构性安全隐患。

2.2. Claude Desktop静默预置行为分析

a) 静默部署逻辑

Claude Desktop在软件安装、程序启动两个关键节点自动触发配置写入逻辑，遍历系统全部Chromium浏览器NativeMessagingHosts目录，批量生成授权配置文件，核心风险特征显著：一是全域无差别覆盖七款主流浏览器，不受软件版本、安装状态限制；二是支持超前潜伏预埋，针对未安装浏览器主动创建目录并写入配置，长期预留攻击入口；三是全程无用户交互，跳过所有告知、确认、授权环节，完全违背行业安全交互规范。

b) 持久化机制

该配置文件并非临时缓存文件，属于软件内置持久化逻辑。用户手动删除文件后，重启Claude Desktop会触发Chrome Extension MCP模块自动重建配置，客户端日志可完整记录Native host installation complete执行记录，实现永久驻留、无法通过常规手动清理彻底根除。同时，配置文件附带官方公证证书签名，具备正规软件特征，传统终端防护难以识别异常。

c) 文件路径特征

通用部署路径：~/Library/Application Support/[浏览器名称]/NativeMessagingHosts/com.anthropic.claude_browser_extension.json。文件核心配置包含本地chrome-native-host二进制程序绝对路径、官方扩展白名单，白名单内所有扩展可无条件调用本地高权限程序，无任何动态权限校验与行为审计机制。

核心功能模块：Chrome Extension MCP，为Claude Desktop内置专属模块，负责全浏览器批量配置下发、权限预埋、文件自动复活，所有操作均留存客户端日志记录。

核心配置文件：com.anthropic.claude_browser_extension.json，由Claude Desktop自动生成、持久化维护，内置3个官方扩展白名单ID，允许对应扩展无条件调用本地chrome-native-host二进制程序，无二次权限校验。

com.anthropic.claude_browser_extension.json中新增配置如下：

                                {
                                    "name": "com.anthropic.claude_browser_extension",
                                    "description": "Claude Browser Extension Native Host",
                                    "path": "/Applications/Claude.app/Contents/Helpers/chrome-native-host",
                                    "type": "stdio",
                                    "allowed_origins": [
                                    "chrome-extension://dihbgbndebgnbjfmelmegjepbnkhlgni/",
                                    "chrome-extension://fcoeoabgfenejglbffodgkkbkcdhcgfn/",
                                    "chrome-extension://dngcpimnedloihjnnfngkgjoidhnaolf/"
                                    ]
                                }
                              

2.3. 设计初衷与控制权反转风险机理

基于初步分析研判，Claude Desktop 定制 MCP-over-Native Messaging 通道为厂商正向业务设计，核心用于补齐标准MCP协议无法适配浏览器场景的能力短板。该架构原始设计为本地AI单向控制浏览器的安全模型，旨在提升AI办公辅助能力，一方面可读取网页上下文、解析页面数据，实现网页总结、内容提取、代码分析等智能化功能；另一方面支撑浏览器轻量化自动化操作，完成页面录制、批量业务处理等辅助工作。为降低用户操作门槛、减少授权弹窗干扰，厂商选择静默预埋浏览器Native Messaging授权配置、预授信官方扩展白名单，以体验优先的设计方式完成功能适配，也因此埋下结构性安全隐患。

但该业务通道可被恶意利用，源于三重设计缺陷颠覆了原有单向信任架构，实现权限控制权反转。一是信任边界设计失控，客户端全域静默预埋永久白名单授权，无需用户安装扩展、无需显性授权即可随时调用高权限通道，终端长期处于潜伏待命状态；二是AI输入校验机制缺失，Claude默认自动采集网页内容作为Prompt上下文，无法抵御网页内嵌恶意载荷，可被PromptInjection漏洞篡改AI决策逻辑；三是本地进程权限过度授信，chrome-native-host脱离浏览器沙箱持有整机用户权限，叠加MCP协议可调用系统级操作的能力，权限范围远超浏览器辅助业务刚需。上述缺陷叠加导致合法的AI浏览器控制通道，反向沦为可被外部利用的终端入侵入口。

3. 安全风险与隐私影响分析

3.1. 能力边界分析

根据 Anthropic 官方文档介绍，Claude Desktop 静默部署的 Native Messaging Bridge 通道激活后，可突破浏览器沙箱限制，获取多项高权限浏览器操作能力，覆盖页面访问、身份认证、数据读取、自动化操作等核心场景。各项能力明细及风险等级判定如下：

表格 3-1 Claude Desktop Native Messaging Bridge通道各项能力明细

能力类别	具体描述	风险等级
浏览器自动化	支持自主打开浏览器新标签页，自动化执行多站点连续工作流操作，无需用户手动交互	高
认证状态共享	可直接读取、复用用户所有已登录网站的会话状态、登录凭证，以用户合法身份访问对应站点	高
DOM 状态读取	完整读取网页 DOM 结构、页面源码、前端日志及控制台错误信息，获取页面全部静态与动态数据	中
数据提取	智能解析网页内容，批量提取结构化文本、数据表单、图文信息并保存至本地终端	中
表单自动填充	自动读取本地留存的表单数据、账号密码，完成网页表单自动填写、数据录入与提交操作	高
会话录制	全程录制用户浏览器交互行为、页面操作过程，自动生成GIF录像留存本地	中

若用户终端内银行、医疗、政务、企业后台、涉密办公等敏感站点处于登录状态，该 Native Messaging Bridge 可直接复用用户合法会话身份，无感访问各类敏感业务系统，且全程突破浏览器原生安全沙箱隔离机制，无任何弹窗提示与权限校验，隐私泄露与业务安全风险极高。

3.2. 攻击面风险分析

结合产品设计缺陷与公开漏洞数据，该预埋通道衍生多重可落地攻击面，突破常规浏览器安全防护体系，形成隐蔽性强、成功率高的复合攻击风险，具体如下：

a) 提示词注入（Prompt Injection）高危风险

根据Anthropic 官方公开测试数据，即便启用平台内置的安全缓解措施，Claude for Chrome 系列产品的提示词注入攻击成功率仍可达11.2%。本次静默预埋的 Native Messaging Bridge 是该攻击链路的核心承接攻击面，攻击者通过构造恶意网页、诱导AI加载恶意内容，即可触发提示词注入漏洞，篡改AI执行逻辑，进而调用本地高权限通道实现终端权限提升，突破终端与浏览器双重安全边界。

b) 预置扩展ID泄露与伪造攻击风险

Claude Desktop自动生成的配置清单硬编码写入三组官方Chrome扩展白名单 ID，存在明显安全风险。受 Chrome扩展开发者签名与应用商店机制约束，攻击者无法直接伪造相同ID的恶意扩展在官方渠道分发，但可利用公开的扩展标识制作仿冒程序实施钓鱼。若诱导用户手动安装非官方渠道的恶意扩展，即可依托预授信的Native Messaging权限绕过部分安全管控，实施浏览器配置劫持、用户会话窃取、网页篡改等攻击行为。

c) 跨厂商信任边界彻底破坏

该设计完全打破互联网软件厂商安全边界与信任隔离原则，Anthropic 旗下Claude Desktop客户端，可无授权、无感知篡改Brave、Edge、Chromium等独立厂商浏览器的核心配置目录，强制预埋高权限通信通道。最核心风险在于：即便用户终端未安装任何 Anthropic 官方浏览器扩展，系统已提前完成权限预配置，该高权限通信通道处于潜伏待命、可随时被触发启用的状态，严重冲击了终端软件既有的信任与安全防护体系。

3.3. 系统层风险分析

该Native Messaging通信通道依托macOS系统特性实现深度隐蔽驻留，规避系统原生监控、权限管理与安全审计机制，常规用户与基础终端防护工具无法感知其运行与存在，具体隐蔽特征如下：

表格 3-2 macOS系统Native Messaging通信通道隐蔽特征

检测维度	详细说明
进程可见性	Native Messaging Host进程由浏览器按需动态调用，仅在触发通信时临时运行，不常驻系统进程列表，用户无法通过活动监视器、命令行进程检索发现异常进程，隐蔽性极强。
权限UI规避	该高权限通信通道不会录入macOS系统标准权限管理体系，不会展示在「隐私与安全性」「完全磁盘访问权限」「文件与文件夹权限」等系统可视化UI中，用户无法直观查看、管控该权限，属于隐性特权通道。
网络活动隐匿	通道依托系统标准stdio机制完成浏览器与本地程序的数据通信，不产生独立外网、内网网络连接，无法通过防火墙、网络监控工具、流量审计设备捕获异常流量，常规网络防护完全失效。
文件溯源特征	配置文件自带macOS系统com.apple.provenance扩展属性，可精准追溯文件写入来源为Claude Desktop官方程序，无第三方篡改特征，易被安全设备判定为合法可信文件，进一步规避安全查杀。

4. 桌面智能体系安全风险的爆发连锁

4.1. 桌面智能体正在进入风险爆发期

本次Claude Desktop静默预埋高权限通信通道、权限边界失控可被反向劫持的安全事件，并非个例，而是通用桌面AI智能代理高速迭代发展阶段带有一定必然性的事件。当前全球桌面智能体百花齐放，呈现“功能迭代超速、安全体系滞后、权限管控宽松”的发展失衡态势，各大厂商为抢占智能化赛道、打造AI自动化办公核心竞争力，普遍将用户体验、功能丰富度、操作便捷性置于安全边界管控之上 ，再次重现“重能力、轻安全、重体验、轻合规”的互联网客户端的历史轨迹。相较于操作系统和软件安全理念已经相对磨合成熟的最小权限、显性授权、边界隔离、行为可审计的安全基线，新型桌面智能体在设计上普遍忽视终端安全规范，无节制索取系统高权限、私自篡改第三方应用配置、预埋隐性通信通道、弱化用户知情与授权机制，彻底打破终端软件的信任隔离体系。不同于传统应用仅在用户主动触发时执行对应操作，桌面智能体具备自主感知、主动读取、持续监听、自动化决策的新型能力，可静默采集网页数据、本地文件、浏览会话等核心隐私信息，一旦安全校验机制缺失，极易形成可被外部利用的持续性攻击面。本次事件暴露的AI提示词注入防护缺失、跨软件权限预埋、高权限进程无约束运行等问题，在桌面智能体中广泛存在，也必然导致桌面智能体的安全缺陷成为重要的可攻击面。

4.2. 软件供应链风险在人工智能场景下持续放大

以Claude Desktop、Codex为代表面向研发、科研群体的生产力工具，深度嵌入企业软件研发全链路，不只是具备完整本机文件读写、终端执行、目录遍历等高权限操作能力，更是串联需求分析、代码开发、版本迭代、文档沉淀的关键中间节点，深度融入企业内部供应链体系，一旦该客户端被攻击者突破，将对软件供应链形成多层级、不可逆的连锁危害。从资产窃取维度，攻击者依托工具本机高权限可直接遍历本地代码仓库、需求文档、接口方案、核心算法原型等涉密技术资产，批量导出未开源核心源码与独家技术方案，造成企业核心知识产权流失；同时依托工具内置 MCP 协议连接的数据库、知识库服务，横向读取业务底层数据、架构设计图纸，完成全链路技术情报收割。从供应链投毒风险来看，该工具可直接操作 Git 分支、编译脚本、打包发布配置，入侵后攻击者能静默在源码中预埋隐蔽逻辑漏洞、插入后门调用接口，或是创建携带木马的私有开发分支；在本地编译、测试打包环节篡改构建脚本，使携带恶意载荷的程序流入内部测试环境，最终随正式发布版本流向下游客户、合作厂商。

这类风险区别于普通办公软件入侵，其攻击落点直击软件生产源头，漏洞与木马嵌入研发流程底层，常规上线扫描、代码审计难以溯源识别，恶意代码会伴随软件交付传导至整条上下游供应链，引发客户数据泄露、业务系统受控等次生安全事故，形成源头投毒、全域扩散的供应链安全危机。

5. 小结：应对新技术爆发点必然伴随的安全降级

本次 Claude Desktop 静默预置 Native Messaging 高权限通道事件，让我们看到了安全体系发展演进的曲折性。一个非常典型的规律是：信息技术的每一次重大变革，往往并非单纯源自技术创新，而是出于便利性被先用起来。这就导致两个必然结果：原有安全框架被新应用视为“绊脚石”，而历史的隐患亦会在新场景中重新登场。例如，DOS 和 PC 的普及全面加速了系统安全革命，但也让商业 UNIX 的安全范式荡然无存；PC 时代几乎所有的安全陷阱和威胁样式，在智能手机发展早期都无一例外地重现一遍。

桌面智能体所处的时代，已经基于大量威胁事件带来的损失与教训，形成了一套初步成熟的安全机制。这套机制在冯·诺依曼通用计算架构之上，引入了哈佛架构的空间隔离安全思想，搭建起覆盖操作系统到应用软件的进程、资源、数据分层隔离框架，通过沙箱、权限分级、显性授权、第三方应用配置隔离等手段，约束单款程序的特权范围，构建起多方软件互不侵入、操作行为可审计的基础安全秩序。然而，在便利性的诱惑下，用户往往会亲手拆除由无数血泪教训筑成的安全护栏——特别是当反复弹出授权确认提示后，多数人会选择永久授权。

人工智能代理的普及重构了人机交互逻辑，用户对自动化、一站式协同的需求不断放大。产品设计为迎合便捷性诉求，倾向于打通跨软件交互链路、弱化多层授权校验，绕过了长期建立的软硬件与数据隔离安全规划。以本次事件为例，厂商为实现浏览器联动能力，在用户无感知的情况下篡改多款第三方浏览器的核心配置，预埋全域永久授信的通信通道，将脱离沙箱的整机高权限开放给跨程序交互接口，打破了不同软件厂商间的信任隔离边界。

叠加人工智能代理自身特有的运行逻辑，整套隔离框架的防护短板被进一步放大：代理会主动将外部页面内容读取为输入上下文，外部载荷因而可以介入其执行与决策链路；其配套交互协议具备调用系统底层操作的能力。一旦预埋的高权限通道处于潜伏待命状态，外部恶意载荷就能借助原有合法业务链路实现权限反转，实施浏览器会话窃取、敏感数据批量读取、冒用身份操作业务系统等行为。整套攻击链路隐蔽，无弹窗提示，常规终端防护手段难以监测溯源。

在本次事件中，厂商虽后续补充了授权交互弹窗，但底层权限授信模型、跨软件预埋通道、输入链路防护等核心架构并未重构，安全隔离框架被突破所形成的持续性攻击面并未根除。桌面人工智能代理已从普通应用软件，转变为深度介入终端全场景的基础设施，传统面向普通软件搭建的隔离、授权、审计体系，已无法适配这一新型算力载体。智能工具底层运行逻辑不可核验、隐性权限链路缺乏管控手段，在关键行业场景中存在供应链安全隐患。

此次事件同样提醒我们，在需要技术强自主性的场景中，桌面智能体的技术自主与安全可控，与模型本身同等重要。当全球桌面智能体普遍在用户对便利性的追求中，“温水煮青蛙”般的逐步接管系统时，作为安全的长期赋能者，我们想为中国桌面智能体探索一条安全可控先行的道路。

附录一：参考资料

Alexander Hanff：Anthropic secretly installs spyware when you install Claude Desktop(2026-04-18).

https://www.thatprivacyguy.com/blog/anthropic-spyware/

[2] Toxsec：Is Claude Code Secretly Installing Spyware? (2026-04-27).

https://www.toxsec.com/p/is-claude-code-spyware

安天：利爪浩劫——面向AI代理OpenClaw技能市场的大规模投毒行动分析(2026-2-26).

https://mp.weixin.qq.com/s/Rj0uk1AXdPW1PnuaRfxA1A