Mastodawn

Ciemna strona Claude Desktop. Czy „bezpieczne AI” właśnie zainstalowało Ci spyware?

Jeśli zainstalowałeś aplikację Claude Desktop na swoim Macu, myśląc, że Anthropic to ci „dobrzy i bezpieczni” od sztucznej inteligencji, możesz poczuć się lekko zaniepokojony.

Najnowsze doniesienia z The Register sugerują, że aplikacja stosuje praktyki, które – zdaniem części ekspertów – niebezpiecznie ocierają się o definicję spyware’u i mogą naruszać europejskie prawo.

„Cichy lokator” w twoich przeglądarkach

Problem polega na tym, co Claude Desktop robi za twoimi plecami podczas instalacji. Okazuje się, że aplikacja bez pytania modyfikuje ustawienia innych programów – konkretnie przeglądarek opartych na Chromium (Chrome, Edge, Brave itd.).

Claude instaluje plik manifestu komunikacji (com.anthropic.claude_browser_extension.json) w systemowych katalogach wsparcia aplikacji (np. ~/Library/Application Support/Google/Chrome/NativeMessagingHosts/). Plik ten preautoryzuje rozszerzenia Claude, nawet jeśli ich nie zainstalowałeś, i pozostaje tam na stałe. Co więcej, Anthropic przygotowuje grunt pod te rozszerzenia nawet w przeglądarkach, których… jeszcze nie masz na dysku (sic!). To tak, jakby ekipa remontowa włamała się do Twojego domu i zamontowała uchwyt na rower, którego jeszcze nie kupiłeś, „na zapas”, bez Twojej wiedzy. Ok, na razie jeszcze niczego nie wynieśli, ale weszli jak do siebie. Przypuszczam, że średnio ci się to podoba.

Spyware czy „tylko” ryzyko?

W środowisku ekspertów zawrzało, choć diagnozy są różne. Alexander Hanff, konsultant ds. prywatności, mówi wprost o „spyware” i stosowaniu tzw. dark patterns. Z kolei Noah M. Kenney z firmy Digital 520 jest bardziej powściągliwy – sugeruje, że to nie tyle klasyczny spyware (który kojarzy się z aktywną kradzieżą danych), co „uśpiona warstwa integracyjna”, która niestety znacznie zwiększa powierzchnię potencjalnego ataku bez wiedzy użytkownika.

Dlaczego to jest groźne? (ucieczka z piaskownicy)

Niezależnie od nazewnictwa, ryzyko jest realne. Rozszerzenia przeglądarkowe zazwyczaj działają w bezpiecznym, odizolowanym środowisku (sandbox). Jednak mostek (bridge) zainstalowany przez Claude Desktop działa poza tym sandboksem, na poziomie uprawnień użytkownika. Zostawiam waszej wyobraźni co potencjalnie mogłoby się stać, gdybyście chcieli skorzystać z Claude Desktop z poziomu konta administratora macOS.

Anthropic samo przyznaje, że Claude w wersji przeglądarkowej jest podatny na ataki typu prompt injection (skuteczność rzędu 11–23%). W połączeniu z „cichym mostkiem” na macOS, udany atak na czat może teoretycznie pozwolić złośliwemu skryptowi wyjść poza przeglądarkę i wykonać kod bezpośrednio na twoim systemie.

Prawo UE a ryzyko regulacyjne

Eksperci wskazują, że działania Anthropic mogą naruszać europejską dyrektywę o prywatności (ePrivacy Directive). Prawo w Europie wymaga wyraźnej zgody na dostęp do danych na urządzeniu, chyba że jest to „ściśle niezbędne” do świadczenia usługi. Zdaniem ekspertów, cicha instalacja konfiguracji dla przeglądarek, których użytkownik nie wybrał do integracji, prawdopodobnie wykracza poza to wyłączenie i niesie ze sobą realne ryzyko kar regulacyjnych.

Nasze wnioski

Zaufanie buduje się latami, a traci jednym plikiem .json. Anthropic, które budowało swój PR na etyce i bezpieczeństwie, zaliczyło wizerunkową wpadkę. Nawet jeśli intencje były czyste – chęć stworzenia płynnego ekosystemu – wykonanie przypomina najgorsze wzorce z czasów, gdy do darmowych programów dołączano niechciane paski narzędzi.

Lekcja dla nas? AI to nie tylko fascynujące modele, to także oprogramowanie z głębokim dostępem do systemu. Instalując aplikacje desktopowe, warto sprawdzać, czy nie stają się one zbyt „gościnne” w miejscach, w których w ogóle nie powinno ich być.

Google pracuje nad natywną aplikacją Gemini AI na Maca, rywalem ChatGPT i Claude

#AI #Anthropic #Apple #Bezpieczeństwo #ClaudeDesktop #ePrivacy #iMagazineTech #macOS #promptInjection #prywatność

Okuna Apr 30

Isn‘t #Anthropic supposed to be the good guys in the #AI game? It is amazing in what short time they destroy their reputation. After the fall out with the government they were booming.
Then they ran into problems with their tokens and limits. Then it became public that they charge you additionally even if you have not reached your limits and then it became public that they may have installed “spyware” on your computer when installing #ClaudeDesktop. Now I dont think this is really spyware as some claim. But it makes me thinking, installing stuff on my computer without any information, hint and so on. It is all about trust, Anthropic is losing it day by day with me.

https://www.malwarebytes.com/blog/news/2026/04/researcher-claims-claude-desktop-installs-spyware-on-macos

Researcher claims Claude Desktop installs “spyware” on macOS

A security researcher claims Claude Desktop installed spyware on his Mac. We examine the findings.

Malwarebytes

zeldman Apr 22

Dark patterns galore—with receipts. That Privacy Guy: Anthropic secretly installs spyware when you install Claude Desktop. www.thatprivacyguy.com/blog/anthrop... #privacy #ai #anthropic #ClaudeDesktop #antipatterns #spyware #claude h/t @[email protected]

Anthropic secretly installs sp...

Anthropic secretly installs spyware when you install Claude Desktop — That Privacy Guy!

Anthropic's Claude Desktop silently installs a Native Messaging bridge into seven Chromium browsers, including browsers Anthropic's own documentation says it does not support, and browsers the user has not even installed.

That Privacy Guy!

Andreas Becker Apr 22

Anthropics macOS-App Claude Desktop installiert ungefragt eine Native-Messaging-Brücke für Chromium-Browser.

Das Programm legt eine versteckte Konfigurationsdatei ab, die lokale ausführbare Dateien direkt mit der Webumgebung verbindet. Diese Architektur umgeht die Sandbox und birgt bei Prompt-Injections das Risiko lokaler Dateizugriffe.

#ClaudeDesktop #Anthropic #Privacy #Infosec #News
https://www.all-ai.de/news/news26top/claude-desktop-app-fehler

Claude-Desktop-App installiert »Spyware« auf MacOS

Die macOS-App platziert ungefragt eine riskante Datei auf dem System. Experten warnen vor kritischen Sicherheitslücken durch Prompt-Injections.

All-AI.de

N-gated Hacker News Apr 20

🤔 Oh, look! The privacy saviors at #Anthropic are here to stealthily slip #spyware onto your computer like a ninja with a penchant for violating privacy laws. In a shocking twist, their 'Claude Desktop' comes with more hidden surprises than a magician's hat 🎩🐇. Who knew installing a simple app could feel like signing over your soul to the tech overlords? 🙄
https://www.thatprivacyguy.com/blog/anthropic-spyware/ #privacyissues #techoverlords #ClaudeDesktop #digitalrights #HackerNews #ngated

Anthropic secretly installs spyware when you install Claude Desktop — That Privacy Guy!

That Privacy Guy!

Show thread

michabbb Apr 11

🤖 MCP Server support — AI agents connect via standard MCP protocol
🛠️ Tools auto-generated from your Repository field definitions
🔗 Integrates with #ClaudeDesktop and other MCP-compatible AI clients

📦 Optional laravel-restify-boost dev companion for AI-assisted development
📦 More features:
🧩 #GraphQL schema auto-generation

✔️ Consistent field validation across REST & MCP
🎯 Artisan commands: restify:setup & restify:repository
📚 Full docs at https://laravel-restify.com

Laravel Restify - Build APIs for Humans & AI Agents

Transform your Laravel Eloquent models into JSON:API compliant endpoints and MCP servers automatically. No boilerplate, just results.

sortedmy Mar 26

🔧 Built 44 MCP developer tools for Claude Desktop — here are the ones that actually save time daily:

• JWT decode without leaving your editor
• Cron expression ↔ human-readable
• Timestamp conversions across formats
• JSON diff for API response debugging

All free, all open source: npmjs.com/package/mcp-devutils

What tools do you wish your AI assistant had built-in?

#MCP #DevTools #ClaudeDesktop #OpenSource #BuildInPublic

sortedmy Mar 23

Curious what MCP tools other devs are using with Claude Desktop.

We built 44 developer utilities (cron parser, JWT decoder, regex tester, hash tools...) and packaged them as MCP servers on npm.

What's your MCP setup look like? Any must-have servers?

https://www.npmjs.com/package/mcp-devutils

#MCP #ClaudeDesktop #DevTools #BuildInPublic #OpenSource

mcp-devutils

MCP server with 44 developer utilities (15 free + 29 pro). Free: UUID, hash, HMAC, base64, timestamps, JWT decode, random strings, URL encode/decode, JSON format, regex test, cron explain, color convert, HTTP status, slugify, HTML escape. Pro: nanoid, hex. Latest version: 2.7.0, last published: 5 hours ago. Start using mcp-devutils in your project by running `npm i mcp-devutils`. There are no other projects in the npm registry using mcp-devutils.

npm