Ứng dụng Claude Desktop bị phát hiện cài đặt cầu nối Native Messaging ẩn danh

Ứng dụng Claude Desktop của Anthropic mới đây đã vấp phải chỉ trích từ cộng đồng công nghệ khi bị phát hiện tự động cài đặt một cầu nối Native Messaging (Native Messaging Bridge) mà không có sự đồng ý hoặc thông báo rõ ràng cho người dùng.

Đây là một vấn đề bảo mật đáng lo ngại, bởi vì cơ chế này về cơ bản tạo ra một kênh giao tiếp ngầm giữa ứng dụng desktop và trình duyệt web trên máy tính, tương tự như cách một tiện ích mở rộng (extension) hoạt động nhưng lại bỏ qua các quy trình kiểm soát quyền thông thường.

Cầu nối Native Messaging là gì?

Native Messaging là một tiêu chuẩn cho phép các ứng dụng độc lập (như Claude Desktop) trao đổi dữ liệu với các tiện ích mở rộng của trình duyệt (như Chrome hay Edge). Thông thường, khi cài đặt một tiện ích trình duyệt, người dùng sẽ được yêu cầu cấp quyền cho phép truy cập vào dữ liệu trang web, lịch sử duyệt web, v.v.

Tuy nhiên, trong trường hợp của Claude Desktop, cầu nối này dường như được cài đặt và "ủy quyền trước" (pre-authorized) mà không cần người dùng thực hiện bất kỳ hành động xác nhận nào trên trình duyệt. Điều này có nghĩa là ứng dụng có khả năng đọc và ghi dữ liệu từ trình duyệt một cách thầm lặng.

Những rủi ro về an ninh và quyền riêng tư

Việc cài đặt các thành phần ẩn danh tiềm ẩn nhiều rủi ro:

• Tấn công chuỗi cung ứng: Nếu ứng dụng Claude Desktop bị tấn công hoặc bị khai thác lỗ hổng, kẻ tấn công có thể sử dụng cầu nối này để thao túng trình duyệt của người dùng, chèn mã độc hoặc đánh cắp dữ liệu nhạy cảm từ các trang web đang mở.
• Vi phạm quyền riêng tư: Người dùng không biết chính xác dữ liệu nào đang được gửi từ trình duyệt của họ sang ứng dụng Claude để xử lý. Mặc dù Anthropic có chính sách bảo mật, nhưng việc thực thi kỹ thuật này thiếu tính minh bạch.
• Mô hình hành vi xấu: Việc các ứng dụng AI tự ý cài đặt các cổng sau (backdoors) hoặc cầu nối vào trình duyệt có thể tạo ra tiền lệ nguy hiểm cho các phần mềm khác trong tương lai.

Phản ứng của cộng đồng

Cộng đồng bảo mật và người dùng công nghệ đang kêu gọi Anthropic giải thích rõ ràng về mục đích của cầu nối này và cung cấp tùy chọn để người dùng có thể gỡ bỏ hoặc vô hiệu hóa nó hoàn toàn. Sự minh bạch là yếu tố then chốt, đặc biệt khi các công cụ AI ngày càng được tích hợp sâu vào quy trình làm việc và chứa nhiều dữ liệu cá nhân của người dùng.

Đối với người dùng hiện tại, việc kiểm tra kỹ các quyền truy cập của ứng dụng và theo dõi các cập nhật bảo mật từ nhà phát triển là điều cần thiết để bảo vệ dữ liệu của mình.