A Claude Desktop engedély nélkül módosítja a böngészőbeállításokat — állítja egy szakértő
Az alkalmazás a felhasználó tudta és beleegyezése nélkül módosítja a böngészők hozzáférési beállításait, még akkor is, ha a böngészők nincsenek telepítve a gépen.
Az Anthropic Claude Desktop macOS-re készült verziója olyan fájlokat telepít, amelyek más gyártók alkalmazásait érintik, anélkül, hogy erről tájékoztatná a felhasználót, sőt, a böngészőbővítményeket is engedélyezi beleegyezés nélkül — írja a The Register.
Alexander Hanff, adatvédelmi tanácsadó szerint ez „kémprogramnak” minősül, és sérti az európai adatvédelmi jogszabályokat. Hanff blogbejegyzésében „sötét mintázatnak” nevezte a gyakorlatot, amely szerinte közvetlenül sérti a 2002/58/EC irányelv (ePrivacy irányelv) 5(3) cikkét, valamint számos számítógépes hozzáférési és visszaélési törvényt.
Az árnyékban működő kód
A 5(3) cikk előírja, hogy a szolgáltatóknak, akik hozzáférést kérnek egy személy adataihoz, világos részleteket kell közölniük az adathozzáférési kérelemről, és be kell szerezniük a beleegyezést, kivéve, ha a hozzáférés feltétlenül szükséges a szolgáltatás nyújtásához. Hanff egy másik alkalmazás hibakeresése közben fedezte fel az eltitkolt fájltelepítést.
A Claude Desktop egy Native Messaging manifest fájlt (com.anthropic.claude_browser_extension.json) telepít, amely előzetesen engedélyez három különböző Chrome-bővítmény-azonosítót, így a kapcsolódó böngészők futtatni fogják a manifest fájlban azonosított binárist. Ez a gyakorlat azt jelenti, hogy a Claude Desktop előkészíti az AI modelljének képességét a különböző böngészők automatizált elérésére, még azelőtt, hogy a felhasználó telepítené azokat.
A szabályok homályos határa
Noah M. Kenney, a Digital 520 tanácsadó cég alapítója vitatja a „kémprogram” kifejezést, de elismeri, hogy Hanff technikai állításai reprodukálhatók. Kenney szerint az ePrivacy irányelv 5(3) cikke egyértelműen vonatkozik az információk felhasználó eszközén történő tárolására, így a manifest fájlok írása is ebbe a körbe tartozik. A kulcskérdés az, hogy ez a művelet „feltétlenül szükséges-e” egy olyan szolgáltatáshoz, amelyet a felhasználó ténylegesen kért.
Az Anthropic egyelőre nem reagált a The Register megkeresésére. A Claude Desktop natív üzenetküldő gazdagépénél egy javítatlan hiba is fennáll, amelyet február 28-án egy GitHub Actions bot automatikusan lezárt, a hiba pontos természete azonban továbbra is tisztázatlan maradt.