Claude 桌面擴充爆零點擊漏洞,Google 日曆邀請恐成攻擊入口
在 2026 年 2 月 11 日,來自以色列特拉維夫的安全公司 LayerX 揭露一個關鍵的零點擊遠距程式碼執行漏洞;該漏洞存在於 Anthropic 的 Claude 桌面擴充功能(Claude Desktop Extensions,現稱為 MCP Bundles)中。這個漏洞使攻擊者能利用 Google 日曆邀請來傳遞並執行惡意軟體,並被評為完美的 CVSS 分數 10/10。
根據 LayerX 首席安全研究員 Roy Paz 的研究,這個漏洞源於 Claude 對來自第三方連接器(如 Google 日曆)的輸入處理方式。Claude 會自動選擇並連結擴充功能,卻沒有針對惡意工作流程的「寫死」防護。攻擊者可發送包含隱藏指令的惡意 Google 日曆邀請;當使用者請求 Claude「處理事件」時,Claude 便會處理這些指令。
具體來說,Claude 會提取惡意載荷,並將其轉發給具高風險權限的擴充功能(例如具終端機或命令列存取權限的擴充功能),使其能下載、編譯並執行任意程式碼,包括惡意軟體。這個過程不需要使用者進行任何互動,只需簡單請求 Claude 管理日曆事件,便使該漏洞成為攻擊跳板,特別是在安裝具程式碼執行能力的高風險擴充功能。
Roy Paz 指出,Claude DXT 的容器在沙盒隔離方面明顯不足,無法提供預期的安全性。他表示,這個漏洞的存在,使來自相對低風險連接器(如 Google 日曆)的資料,可以直接轉發到具程式碼執行能力的本機 MCP 伺服器中。
LayerX 已將這項發現告知 Anthropic,但該公司目前選擇不修補此漏洞。Anthropic 認為這屬於使用者自行配置與授權的本機開發工具範疇,安全邊界由使用者的配置與系統安全控制決定。這使 Claude 的使用者面臨風險,特別是那些啟用終端機存取的使用者,且未實施其他因應措施。這起事件也突顯 AI 代理在連結連接器時的更廣泛風險,類似於其他工具中的提示詞注入問題。
(首圖來源:Anthropic)