Claude桌面擴充套件遭指存在零點擊RCE漏洞,逾1萬用戶恐曝險
漏洞詳情
資安業者LayerX揭露一項針對Claude桌面擴充套件(Claude Desktop Extensions)的零點擊遠端程式碼執行(RCE)漏洞。研究人員指出,攻擊者可透過單一Google Calendar行事曆事件植入特定內容,受害者只要請Claude讀取最新行程並協助處理相關事項,系統就可能在使用者未察覺的情況下觸發本機任意程式碼執行。
影響範圍
LayerX指出此問題影響逾1萬名活躍使用者,並波及50個以上的擴充套件,CVSS風險分數為10.0,屬於最高風險等級。
官方回應
LayerX已向Anthropic通報此漏洞,但官方目前不打算修補,導致用戶面臨嚴重資安風險。
攻擊機制
攻擊者只需發送一則惡意的Google日曆邀請,當使用者請求Claude管理日曆事件時,系統便可能被誘導執行高權限工具,進而觸發任意程式碼執行,整個過程無需使用者進行任何互動。