Anthropic, Claude Desktop으로 사용자 몰래 브라우저 확장 설치?

Anthropic의 Claude Desktop은 사용자 동의 없이 Native Messaging Host를 설치하여 브라우저 확장 기능과의 통신을 시도한다. 이 Host는 브라우저 외부에서 실행되며, 사용자의 권한으로 작동한다. 특히, Brave, Chrome, Edge 등 다양한 Chromium 기반 브라우저에 동일한 Manifest 파일이 설치되는 것으로 확인되었다. 이는 잠재적으로 사용자의 인증된 세션(Authenticated Session)에 접근하여 민감한 정보를 탈취할 수 있는 위험을 내포한다.

Native Messaging은 브라우저의 샌드박스(Sandbox)를 우회하여 시스템에 접근할 수 있는 권한을 부여한다. Anthropic은 이 기능을 통해 DOM 상태(DOM State) 읽기, 폼 자동 채우기(Form Filling), 그리고 화면 캡처(Screen Capture)와 같은 기능을 구현할 수 있다고 설명한다. 이러한 기능은 악의적인 공격에 악용될 경우, 사용자의 개인 정보 유출 및 시스템 장악으로 이어질 수 있다.

Anthropic은 AI 안전성을 강조해왔지만, 이번 사건은 그들의 보안 정책에 대한 의문을 제기한다. 특히, 무단 설치(Silent Installation)는 사용자 동의를 무시하는 행위로, 개인 정보 보호에 대한 기본적인 원칙을 위반하는 것이다. GDPR 규제 준수(GDPR Compliance) 및 기타 관련 법규 위반 가능성도 제기되며, 기업의 윤리적 책임에 대한 논쟁을 불러일으킨다.

커뮤니티에서는 Anthropic의 행위를 스파이웨어(Spyware)로 규정하며 강하게 비판하고 있다. 일부 사용자는 샌드박스(Sandbox) 환경을 구축하거나, 브라우저 설정을 통해 Native Messaging을 차단하는 등의 대응 방안을 제시한다. 또한, Anthropic의 공식적인 해명과 문제 해결을 요구하며, 유사한 사례의 재발 방지를 위한 조치를 촉구하고 있다.