Traducción al español: **La aplicación de escritorio Claude de Anthropic instala un puente de mensajería nativa no revelado**

Se ha descubierto que la aplicación Claude Desktop de Anthropic (la interfaz de chat para Claude AI) instala una extensión de navegador sin el consentimiento explícito del usuario, habilitando un puente de mensajería nativa entre la aplicación de escritorio y el navegador. La extensión está preautorizada y permite que la aplicación de escritorio se comunique con las páginas web, pudiendo leer o inyectar contenido.
Detalles clave de la fuente (discusión en HN, 74 puntos, 15 comentarios):
- La extensión se instala automáticamente al instalar o actualizar Claude Desktop, sin ningún aviso ni explicación en la interfaz de usuario.
- Utiliza la API de mensajería nativa de Chrome, lo que le otorga privilegios elevados en comparación con una extensión normal.
- Los usuarios en HN notaron que el manifiesto de la extensión declara permisos para
nativeMessagingy acceso a*://*/*, lo que significa que puede interactuar con todos los sitios web. - No hay un mecanismo obvio para deshabilitar o eliminar la extensión dentro de Claude Desktop; los usuarios deben eliminarla manualmente desde la página de gestión de extensiones de Chrome (
chrome://extensions/).
Este comportamiento es similar al de otras aplicaciones de escritorio (por ejemplo, Grammarly, LastPass) que instalan extensiones complementarias, pero la falta de transparencia y la naturaleza preautorizada de la instalación ha recibido críticas. El hilo de HN destaca preocupaciones sobre la confianza y la transparencia, especialmente dada la capacidad de Claude Desktop para navegar por la web en nombre de los usuarios.
Para los desarrolladores que usan Claude Desktop, vale la pena revisar la lista de extensiones de su navegador y examinar los permisos otorgados a cualquier extensión relacionada con Claude. Si prefiere mantener su navegación aislada, puede desinstalar manualmente la extensión, aunque podría reaparecer con las actualizaciones de la aplicación.
📖 Leer la fuente completa: HN AI Agents
👀 Ver también

Reglas de la Garra: Conjunto de Reglas de Seguridad de Código Abierto para Agentes OpenClaw
Un conjunto de reglas JSON de código abierto con 139 reglas de seguridad que bloquea comandos destructivos, protege archivos de credenciales y protege archivos de instrucciones de ediciones no autorizadas por agentes. Opera con cero dependencia de LLM utilizando patrones de expresiones regulares en la capa de herramientas.

Se informa que el código fuente de Claude Code se filtró a través de un archivo map de NPM
Un tuit informa que el código fuente de Claude Code ha sido filtrado a través de un archivo de mapa en su registro de NPM. La discusión en HN tiene 93 puntos y 35 comentarios.
Análisis estático de 48 aplicaciones generadas por IA: el 90% tenía vulnerabilidades de seguridad
Un desarrollador escaneó 48 repositorios públicos de GitHub construidos con Lovable, Bolt y Replit. El 90% tenía al menos una vulnerabilidad. Problemas comunes: brechas de autenticación (44%), funciones de Postgres SECURITY DEFINER (33%), BOLA/IDOR (25%) y secretos comprometidos (25%).

Claude Code CVE-2026-39861: Escape de la caja de arena mediante seguimiento de enlaces simbólicos
Una vulnerabilidad de alta gravedad en la zona de pruebas de Claude Code permite la escritura arbitraria de archivos fuera del espacio de trabajo mediante el seguimiento de enlaces simbólicos, lo que podría llevar a la ejecución de código.