Een kwetsbaarheid in Claude Desktop Extensions maakt het mogelijk om via een Google Agenda-afspraak zonder tussenkomst van de gebruiker willekeurige code uit te voeren op een systeem.
Beveiligingsbedrijf LayerX ontdekte een nieuw soort kwetsbaarheid gekoppeld aan de Claude Desktop Extensions (DXT). De fout maakt het mogelijk voor een aanvaller om malafide code uit te voeren op een systeem, zonder dat die daarvoor echte kwetsbaarheden moet uitbuiten. De aanvaller maakt gebruik van de goedgelovigheid van Claude en de hoge privileges van DXT om via een omweg gewoon te vragen wat hij wil. De fout kreeg dan ook een maximale CVSS-score van 10/10.
Aanval via de agenda
LayerX koppelt de aanval aan de eenvoud van een (gedeelde) kalender-afspraak. Al wat een aanvaller moet doen om zich toegang te verschaffen, is een uitnodiging delen voor bijvoorbeeld de Google Agenda. In die kalender-afspraak moet de aanvaller dan omschrijven wat hij wil, bijvoorbeeld:
- Een git pull uitvoeren van een repository van de aanvaller en die opslaan op de harde schijf
- Het bestand in in kwestie uitvoeren.
Wanneer een gebruiker van Claude en DXT een ogenschijnlijk onschuldige vraag stelt, zoals “Bekijk mijn agenda en regel alles even voor me”, gaat Claude aan de slag en komt het de taak met expliciete instructies tegen. Claude vraagt zich niet af of die instructies malafide zijn: ze zijn duidelijk en zitten in de agenda, dus de AI-bot zal alles zoals gevraagd even regelen.
Geen sandbox
Normale extensies werken in een sandbox-omgeving, maar DXT niet. DXT geeft Claude volledige toegang tot het systeem van een gebruiker, want dat is nodig om taken voor die gebruiker uit te voeren. In bovenstaand voorbeeld zal Claude de instructies doorgeven aan een lokale MCP-extensie met uitvoerrechten. Als resultaat wordt de volledige malafide code gedownload, opgeslagen en uitgevoerd op een systeem zonder tussenkomst van een gebruiker.
Volgens LayerX ontstaat het risico wanneer Claude autonoom beslist om verschillende connectors te combineren. Een bron met een gepercipieerd laag risico, zoals Google Agenda, kan zo gegevens aanleveren aan een lokale extensie met uitvoerrechten. Er zijn geen ingebouwde beperkingen die zulke datastromen standaard blokkeren.
lees ook
Anthropic integreert apps zoals Slack, Figma en Canva in Claude
De aanval vereist geen complexe manipulatie. Een gebruiker hoeft enkel te vragen om recente afspraken te controleren en “ervoor te zorgen” of “het te regelen”. Claude kan dat interpreteren als toestemming om verdere acties te ondernemen.
Structurele fout in architectuur
Volgens LayerX wijst dit op een bredere architecturale kwetsbaarheid binnen MCP-gebaseerde workflows. Het automatisch doorgeven van gegevens tussen connectors met verschillende risicoprofielen creëert een aanvalsvector die moeilijk te beheersen is. LayerX bracht Anthropic op de hoogte, maar volgens het bedrijf werd het probleem voorlopig niet verholpen.
Zolang er geen bijkomende waarborgen komen rond toegangscontrole en scheiding van bevoegdheden, vormen MCP-connectors volgens de onderzoekers een risico voor beveiligingsgevoelige omgevingen. Of heel anders gesteld: als je een goedgelovige stagiaire geen toegang zou geven tot een systeem, geef een AI-bot dan ook niet zomaar hoge privileges.