Claude Desktopが無断で架ける、7ブラウザへの橋

「安全第一のAIラボ」を自任するAnthropicが、macOS版Claude Desktopをインストールしたユーザーのマシンに、同意も通知もなくChromium系ブラウザ7種へ書き込みをしていた疑いがある。しかも未インストールのブラウザ分まで先回りして、だ。

情報の灯台

2026年4月21日

「僕のMacに、いつのまにかAnthropicのファイルが置かれていた」

プライバシーコンサルタントのアレクサンダー・ハンフ（Alexander Hanff）が4月18日に公開した検証レポートは、技術的には極めて地味な発見から始まっている。別のアプリのネイティブメッセージング（Native Messaging）ヘルパーをデバッグしていたハンフは、使っているBraveブラウザの設定ディレクトリを覗いてみた。そこに、自分が置いた覚えのない、見慣れないファイルがあった。

com.anthropic.claude_browser_extension.json

ハンフはAnthropic製のブラウザ拡張機能を一度もインストールしていない。プライバシーとセキュリティへの懸念からだ。入れたのはmacOS版のClaude Desktopだけだった。つまりClaude Desktopが、別ベンダーであるBraveのアプリケーションディレクトリに手を伸ばし、ユーザーの手元にない拡張機能のために通信経路の認可ファイルを書き込んでいた、ということになる。ハンフ自身は次のように書いている。

はっきり言っておきたい。これはダークパターンだ。そして私の職業的見解では、これはePrivacy指令（2002/58/EC）第5条(3)項の明確な違反であり、コンピュータアクセス・不正使用に関する多数の法律（通常は刑法）に対する、無視できない規模の違反でもある。しかも、安全を重視するAIラボとして認知されるべく多大な努力を払ってきたベンダーによるものだ。

ネイティブメッセージングとは何か、なぜ危ないのか

ネイティブメッセージングは、Chromeなどのブラウザ拡張機能が、ブラウザの外で動くローカルアプリと通信するための仕組みだ。マニフェストファイルに記された拡張機能IDからの呼び出しがあると、ブラウザは指定されたバイナリを起動し、標準入出力でやり取りする。

重要なのは、この起動されるバイナリがブラウザのサンドボックスの外側でユーザー権限で動作するという点だ。ブラウザが本来囲い込んでいるはずのWebコンテンツの危険を、サンドボックスの外に引きずり出す経路になる。それを自由に使えるのは、マニフェストのallowed_originsに並んだ拡張機能IDだけ。つまりこの認可リストこそが、ユーザーのマシン上で誰が特権を持つかを決めるゲートそのものだ。

ハンフが見つけたマニフェストには、Anthropicが発行した3つの拡張機能IDが並んでいた。ひとつはChrome ウェブストアで公開されている「Claude in Chrome」拡張機能のIDだ。これらの拡張機能が将来ブラウザに到着した瞬間、マシン上のバイナリは通信許可を得ることになる。ユーザーに追加の同意を求めることなく。

7つのブラウザに、ユーザーが使っていないものまで

ハンフは2台目のマシンで再現検証を行い、監査ログを公開している。findコマンドでマニフェストを探すと、Chrome、Brave、Chromium、Microsoft Edge、Vivaldi、Opera、Arcの7つのパスから同じファイルが見つかった。7つのMD5ハッシュはすべて一致。バイト単位で同一のファイルが機械的に撒かれていた。

ここからが問題の中核だ。7つのうちこのマシンに実際にインストールされていたのはChromeとBraveの2つだけ。残りの5つは/Applicationsに存在しない。Claude Desktop自身がそれらのブラウザのNativeMessagingHostsディレクトリを新規に作り、マニフェストを置いていた。ユーザーが将来それらのブラウザを入れた瞬間、Anthropicの橋は最初から架かっている状態になる。

Claude Desktopのログには、内部サブシステム名Chrome Extension MCPとして、7つのブラウザへのインストールが整然と記録されていた。合計31回分の「Native host installation complete」イベントが現在と過去のログに残っており、マニフェストはアプリの起動のたびに書き直されている。削除しても、次の起動で復活する。

Anthropic公式ドキュメントとの矛盾

さらに興味深い事実がある。Anthropicの公式ドキュメントは、Chrome連携機能について「ChromeとEdgeで動作する。Brave、Arc、その他のChromium系ブラウザではまだサポートされていない」と明記している。

Chrome integration is in beta and currently works with Google Chrome and Microsoft Edge. It is not yet supported on Brave, Arc, or other Chromium-based browsers.（Chrome連携はベータ版で、Google ChromeとMicrosoft Edgeで動作する。Brave、Arc、その他のChromium系ブラウザでは未サポート）

「サポートしていない」と公言しているブラウザに、足場だけは黙って置いている。サポートの定義がAnthropic社内でどう整理されているかは知らないが、ユーザーの目から見れば公式の発信とデスクトップアプリの挙動が明らかにズレている。

Anthropic自身が認める23.6%の脆弱性

この構造がなぜ特に重いのか。AnthropicはClaude for Chromeの発表記事で、プロンプトインジェクション攻撃の成功率を自ら開示している。緩和策なしで23.6%、現在の緩和策ありで11.2%。悪意あるページが仕込んだ指示を、Claudeが「ユーザーの命令」と誤認して実行してしまう確率だ。

ここに、橋渡しバイナリの件が重なる。The Registerの取材に応じたアドバイザリーファームDigital 520のノア・ケニー（Noah Kenney）は「スパイウェア」という表現には慎重な留保をつけながらも、実態をこう整理している。

It is a pre-positioned integration layer that remains dormant until triggered by a browser extension, which is an important distinction.（これはブラウザ拡張機能によってトリガーされるまで休眠状態を保つ、事前配置された統合レイヤーだ。この区別は重要である）

つまり、橋そのものは今日この瞬間にデータを送ってはいない。しかし、拡張機能が到着した瞬間、その橋はユーザーの認証済みセッション、DOMの中身、フォーム入力、画面キャプチャへの経路として機能し始める。Anthropicの公式機能説明に書かれている通りの能力がだ。Claude for Chromeが2割前後の確率で乗っ取られうる前提を踏まえれば、全ユーザーのMacに橋が先行して架けられているという事実の意味は変わってくる。

「スパイウェア」か「ただのマニフェスト」か

一方で、技術者コミュニティには冷ややかな視線もある。ソーシャルニュースサイトのLobstersでは「マニフェストは権限そのものを与えない。明示的にインストールされた2つのアプリの間の通信を許可するだけだ」「拡張機能がなければ何も起きない。これをスパイウェアと呼ぶのは煽りだ」という声が目立つ。Hacker Newsにも同様の反応がある。

その指摘は技術的には正しい。マニフェストは起動トリガーを握る白紙の契約書であって、契約書それ自体は何もしない。問題は、白紙契約書に既に署名済みの状態で、ユーザーに知らせずに机の引き出しに突っ込んでおくことを、普通のデスクトップソフトウェアの作法として認めるかどうかだ。

ケニーはThe Registerに対し、法的な論点をこう整理した。

ePrivacy指令第5条(3)項は、ユーザーのデバイスに情報を保存する行為に明らかに適用される。マニフェスト書き込みはその射程に入る。鍵となる問いは、この行為がユーザーが実際に要求したサービスにとって「厳密に必要」かどうかだ。（中略）特に欧州では、規制当局はこの「厳密に必要」を狭く解釈する傾向にある。ユーザーが連携を選んでいないブラウザへの、密かなアプリ横断統合のインストールは、この例外から外れる可能性が高い。

ここで注目すべきは、ケニー自身は「スパイウェア」という強い言葉への慎重さを示しながら、法的リスクそのものは「現実的なもの」と評価している点だ。技術レビューと法的判断は別軸であり、両者が食い違わずに同じ方向を指している。

取り除きにくさが作る非対称

ハンフが挙げたダークパターンの中で、ユーザーにとっていちばん現実的に重いのは「インストールの容易さと、削除の困難さの非対称」だろう。

追加はゼロクリックで起きる。削除には、ネイティブメッセージングホストの存在を知り、macOSで2011年以降Finderから隠されている~/Library/Application Supportの中身を知り、ターミナルを開き、ファイルを消し、そしてClaude Desktopをアンインストールする――までが必要になる。削除だけでは済まない。次回起動でまた書き戻されるからだ。

これは事故ではない。Claude Desktopのログは内部サブシステム名を記録し、コード署名は有効で、Apple公証も通っている。正規のリリース経路を通って配布された、設計通りに動いている振る舞いだ。

Anthropicは沈黙している

The Registerはコメントを求めたが、Anthropicは回答していない。ハンフ本人も、ブログ公開後にAnthropicから連絡を受けていないと述べている。正式な苦情申立てはまだ行っていないが、改善がなければ踏み切る意向だという。

AnthropicはAIの安全性を旗印に掲げ、自社技術の戦争利用に反対する姿勢を強く打ち出してきた会社だ。その看板と、macOSアプリが全ユーザーのマシンに黙ってブラウザ制御の足場を仕込む振る舞いが、同じブランドから出てきている。ケニーの言葉を借りれば「ユーザーが安全とプライバシーに真剣だと認識している会社が、その姿勢を掘り崩すツールを出荷することで生まれる、評判の毀損と信頼の喪失」は、法的リスクとは別の次元で確かに積み上がっている。

橋は今、休眠したまま架かっている。動き出す日が来るかどうか、そして来るとすればどちら向きに動くかは、Anthropicの次のアップデートが答えることになる。

参照元