Claude桌面擴充套件遭指存在零點擊RCE漏洞,逾1萬用戶恐曝險
漏洞詳情
資安業者LayerX揭露一項針對Claude桌面擴充套件(Claude Desktop Extensions)的零點擊遠端程式碼執行(RCE)漏洞。研究人員指出,攻擊者可透過單一Google Calendar行事曆事件植入特定內容,受害者只要請Claude讀取最新行程並協助處理相關事項,系統就可能在使用者未察覺的情況下觸發本機任意程式碼執行。
影響範圍
LayerX指出此問題影響逾1萬名活躍使用者,並波及50個以上的擴充套件,CVSS風險分數為10.0,屬於最高風險級別。
處理狀況
LayerX已向Anthropic通報此漏洞,但官方目前不打算修補,導致相關用戶持續面臨安全風險。