O aplicativo Claude Desktop da Anthropic instala uma ponte de mensagens nativas não divulgada

Descobriu-se que o aplicativo Claude Desktop da Anthropic (a interface de chat para a IA Claude) instala uma extensão de navegador sem divulgação explícita ao usuário, criando uma ponte de mensagens nativas entre o aplicativo de desktop e o navegador. A extensão é pré-autorizada e permite que o aplicativo de desktop se comunique com páginas da web, potencialmente lendo ou injetando conteúdo.

Detalhes principais da fonte (discussão no HN, 74 pontos, 15 comentários):

• A extensão é instalada automaticamente quando o Claude Desktop é instalado ou atualizado, sem qualquer aviso ou explicação na interface.
• Ela usa a API de mensagens nativas do Chrome, o que concede privilégios elevados em comparação com uma extensão comum.
• Usuários no HN notaram que o manifesto da extensão declara permissões para nativeMessaging e acesso a *://*/*, o que significa que pode interagir com todos os sites.
• Não há um mecanismo óbvio para desativar ou remover a extensão dentro do Claude Desktop — os usuários devem removê-la manualmente da página de gerenciamento de extensões do Chrome (chrome://extensions/).

Esse comportamento é semelhante ao de alguns outros aplicativos de desktop (por exemplo, Grammarly, LastPass) que instalam extensões complementares, mas a falta de divulgação e a natureza pré-autorizada da instalação geraram críticas. A thread do HN levanta preocupações sobre confiança e transparência, especialmente considerando a capacidade do Claude Desktop de navegar na web em nome dos usuários.

Para desenvolvedores que usam o Claude Desktop, vale a pena verificar a lista de extensões do seu navegador e revisar as permissões concedidas a quaisquer extensões relacionadas ao Claude. Se preferir manter sua navegação isolada, você pode desinstalar manualmente a extensão — embora ela possa reaparecer nas atualizações do aplicativo.