【安全资讯】Claude插件漏洞将谷歌日历变为恶意软件投递渠道

概要：

近日，网络安全公司LayerX披露了Claude桌面扩展（现称MCP Bundles）中的一个高危零点击远程代码执行漏洞。该漏洞允许攻击者通过精心构造的谷歌日历事件，诱使Claude AI模型自动下载、编译并执行恶意代码，整个过程无需用户交互。由于漏洞利用链条涉及AI模型对非可信输入的自动处理与高风险本地工具的权限组合，其潜在威胁巨大，但开发方Anthropic公司目前决定不予修复。

主要内容：

LayerX安全研究员Roy Paz指出，该漏洞的核心在于Claude扩展的设计缺陷。Claude扩展以.dxt（现.mcpb）文件格式分发，本质上是包含本地MCP服务器和配置文件的ZIP包。尽管官方声称扩展在沙盒环境中运行，但Paz证实它们实际上以宿主系统的完整权限执行，缺乏有效的隔离措施。

攻击链条始于Claude处理来自谷歌日历等公开连接器的输入。AI模型会自主决定调用哪个已安装的MCP连接器来满足请求。当用户安装了具有命令行访问权限的高风险扩展（如Desktop Commander）时，即使是通过低风险连接器（如谷歌日历）传入的数据，也可能被转发至具有代码执行能力的本地MCP服务器。

具体攻击场景中，攻击者只需向目标用户发送一个包含恶意指令的谷歌日历邀请。当用户要求Claude“处理我的最新日历事件”时，AI模型会自动扫描事件内容，并将其中的指令（如下载、编译恶意代码）作为任务执行。整个过程无需用户确认，实现了完全的远程代码执行。

Anthropic公司对此漏洞的回应是，此问题超出了其当前的威胁模型。公司认为Claude Desktop的MCP集成是本地开发工具，其安全边界由用户配置选择及系统现有安全控制决定。然而，这种“间接提示注入”攻击是生成式AI领域已知且未解决的普遍性问题，此次事件凸显了AI助手与本地系统深度集成时带来的新型安全风险。