Vulnerabilità critiche nelle estensioni di Claude Desktop: come proteggere il tuo sistema

Cosa è accaduto e perché dovrebbe importarti

Nell’estate del 2025, i ricercatori di sicurezza di Koi Security hanno scoperto un problema serio: tre estensioni ufficiali di Claude Desktop, create direttamente da Anthropic e promosse nel loro marketplace, contenevano vulnerabilità che potevano trasformare una semplice domanda in un attacco informatico devastante. Se usi Claude Desktop con le estensioni Chrome, iMessage o Apple Notes, devi sapere che il tuo computer potrebbe essere stato a rischio di compromissione completa.

La buona notizia è che Anthropic ha rilasciato le correzioni, ma la cattiva notizia è che questa scoperta rivela problemi più profondi su come funzionano gli strumenti di intelligenza artificiale desktop. Continua a leggere per capire esattamente cosa è successo e come proteggerti.

Il problema: iniezione di comandi senza sanitizzazione

Le tre estensioni vulnerabili (Chrome, iMessage e Apple Notes) soffrivano di un problema tecnico ben noto da decenni: iniezione di comandi non sanitizzata. Questo significa che quando l’utente faceva una domanda innocua a Claude, come “Dove posso giocare a padel a Brooklyn?”, la risposta poteva contenere istruzioni nascoste che il sistema eseguiva automaticamente.

Ciò che rende questa vulnerabilità particolarmente pericolosa è il modo in cui funzionano le estensioni di Claude Desktop. A differenza delle estensioni di Chrome, che girano in ambienti protetti e isolati (sandbox), le estensioni di Claude Desktop hanno accesso completo al tuo sistema con i permessi pieni dell’utente. Possono leggere qualsiasi file, eseguire qualsiasi comando, accedere alle credenziali salvate e modificare le impostazioni del sistema.

Come avrebbe potuto funzionare l’attacco

Immagina questo scenario: un attaccante controlla un sito web che appare nei risultati di ricerca quando Claude cerca informazioni per rispondere alle tue domande. Quando Claude visita quel sito per darti una risposta, il sito contiene istruzioni nascoste progettate per sfruttare la vulnerabilità.

L’estensione vulnerabile accetta input da AppleScript senza verificare o “pulire” il contenuto. Un attaccante potrebbe inserire caratteri speciali che rompono il contesto della stringa di comando, concatenare comandi malevoli e far eseguire al tuo computer azioni arbitrarie. Il tutto avviene senza che tu debba fare nulla di speciale: solo facendo una domanda normale a Claude.

Secondo i rapporti di sicurezza, un attaccante potrebbe così:

• Rubare le tue chiavi SSH (usate per accedere a server remoti)
• Accedere alle tue credenziali AWS (se usi servizi cloud)
• Estrarre le password salvate nel browser
• Modificare file importanti sul tuo computer
• Installare malware o backdoor per accessi futuri

Non era necessario alcun clic su un link malevolo, nessun download di file sospetto, nessuna interazione speciale da parte tua. Solo una conversazione normale con l’assistente AI.

I numeri: quanto era diffuso il problema

Le tre estensioni vulnerabili erano sedute in cima al marketplace di Claude Desktop di Anthropic e avevano oltre 350.000 download combinati. Questo significa che il potenziale di danno era enorme. Sebbene non tutti gli utenti fossero necessariamente vulnerabili allo stesso modo, chiunque usasse queste estensioni era esposto al rischio.

Anthropus ha confermato che le vulnerabilità avevano un punteggio CVSS di 8.9, il che le classifica come “Alta Gravità”. Questo punteggio riflette quanto facilmente potevano essere sfruttate e quanto grave poteva essere l’impatto.

La soluzione: aggiornare immediatamente

Se usi Claude Desktop, la cosa più importante che puoi fare è aggiornare le estensioni alla versione 0.1.9 o successiva. Anthropic ha completamente corretto tutte e tre le vulnerabilità in questa versione, e i ricercatori di Koi Security hanno verificato che le correzioni funzionano.

Per aggiornare:

1. Apri Claude Desktop
2. Vai alle impostazioni delle estensioni
3. Verifica che Chrome, iMessage e Apple Notes siano almeno alla versione 0.1.9
4. Se non sono aggiornate, disinstallale e reinstallale dalla versione più recente

Se non usi queste tre estensioni specifiche, non sei direttamente colpito da questi problemi, ma dovresti comunque rimanere vigile.

Cosa significa questo per il futuro

Questa scoperta rivela un problema più ampio: l’ecosistema MCP (Model Context Protocol) di Claude Desktop sta crescendo rapidamente, con sviluppatori indipendenti che creano nuove estensioni. Molte di queste sono sviluppate con l’aiuto dell’intelligenza artificiale e hanno una revisione di sicurezza minima. Combinando accesso completo al sistema locale, cicli di sviluppo rapidi e supervisione limitata, si crea una superficie di attacco significativa.

I ricercatori di sicurezza avvertono che questo non è un incidente isolato, ma un segnale di avvertimento sulla maturità di sicurezza dei framework di integrazione desktop per l’IA.

Consigli pratici per proteggerti

Oltre ad aggiornare le tue estensioni:

• Disconnetti le estensioni ad alto privilegio se non le usi regolarmente. Se non hai bisogno della connessione Chrome, iMessage o Apple Notes, considera di disattivarle
• Sii consapevole di quali estensioni installi. Leggi le recensioni e controlla chi le ha sviluppate
• Tieni traccia degli aggiornamenti di sicurezza. Iscriviti alle notifiche di sicurezza di Anthropic
• Non installare estensioni da sviluppatori sconosciuti, specialmente se eseguono comandi di sistema

Technical Deep Dive

Per gli utenti più tecnici, è importante comprendere i dettagli architetturali di questo problema.

Le estensioni di Claude Desktop sono distribuite come bundle .mcpb e girano completamente senza sandbox (unsandboxed) con permessi di sistema completi. Questo è fondamentalmente diverso da come funzionano le estensioni di Chrome (.crx), che operano in processi browser isolati con capacità limitate.

Ciascuna estensione vulnerabile accettava input utente attraverso comandi AppleScript senza escape o validazione. La catena di attacco funzionava così:

1. Claude riceve una domanda innocua dall’utente
2. Claude effettua una ricerca web per rispondere
3. Un sito web controllato dall’attaccante appare nei risultati (o un sito legittimo è stato compromesso)
4. Claude legge il contenuto della pagina per formulate una risposta
5. Il contenuto della pagina contiene payload di prompt injection progettati per sfruttare l’estensione MCP
6. L’estensione esegue comandi shell arbitrari perché l’input non è stato sanitizzato
7. Il client di chat stesso diventa il vettore di attacco

L’aspetto critico è che non c’era alcun meccanismo di sandboxing che impedisse al contenuto web di bassa fiducia di essere inoltrato a uno strumento di esecuzione ad alto privilegio. Claude, agendo in buona fede e cercando di essere utile, eseguiva comandi malevoli perché credeva di seguire istruzioni legittime.

Dal punto di vista della sicurezza, questo rappresenta una “violazione del confine di fiducia a livello di sistema” nei flussi di lavoro guidati da LLM. La concatenazione automatica di fonti dati benigne in contesti di esecuzione privilegiata è fondamentalmente non sicura.

Anthropus ha deciso di non correggere questo comportamento a livello architetturale perché è coerente con il design intenzionale dell’autonomia MCP e dell’interoperabilità. Una correzione completa richiederebbe l’imposizione di limiti ristretti sulla capacità del modello di concatenare strumenti, il che potrebbe ridurne l’utilità.

I ricercatori di sicurezza raccomandano che i connettori MCP siano considerati non sicuri per i sistemi sensibili alla sicurezza, e che gli utenti disconnettano le estensioni locali ad alto privilegio se utilizzano anche connettori che ingeriscono dati esterni non attendibili come email o calendari.

Questa scoperta sottolinea un principio fondamentale della sicurezza informatica: quando i sistemi di intelligenza artificiale passano da chatbot a assistenti attivi del sistema operativo, la superficie di attacco cambia radicalmente. Concedere agli agenti di IA l’accesso alle nostre vite digitali significa anche esporci a chi può manipolare i loro dati. La comodità di lasciare che l’IA gestisca i compiti comporta rischi di sicurezza significativi che gli utenti devono comprendere e mitigare attivamente.

Fonte: https://cybersecuritynews.com/claude-desktop-extensions-0-click-vulnerability/