Une vulnérabilité dans Claude Desktop Extensions permet d’exécuter du code arbitraire sur un système via un rendez-vous Google Agenda sans intervention de l’utilisateur.
La société de sécurité LayerX a découvert un nouveau type de vulnérabilité lié aux Claude Desktop Extensions (DXT). La faille permet à un attaquant d’exécuter du code malveillant sur un système, sans avoir à exploiter de véritables vulnérabilités. L’attaquant exploite la crédulité de Claude et les privilèges élevés de DXT pour simplement demander ce qu’il veut par un détour. La faille a donc reçu un score CVSS maximal de 10/10.
Attaque via l’agenda
LayerX relie l’attaque à la simplicité d’un rendez-vous (partagé) dans l’agenda. Tout ce qu’un attaquant doit faire pour obtenir l’accès est de partager une invitation, par exemple, pour Google Agenda. Dans ce rendez-vous de l’agenda, l’attaquant doit alors décrire ce qu’il veut, par exemple :
- Exécuter un git pull d’un dépôt de l’attaquant et l’enregistrer sur le disque dur
- Exécuter le fichier en question.
Lorsqu’un utilisateur de Claude et DXT pose une question apparemment innocente, telle que « Consultez mon agenda et réglez tout pour moi », Claude se met au travail et rencontre la tâche avec des instructions explicites. Claude ne se demande pas si ces instructions sont malveillantes : elles sont claires et se trouvent dans l’agenda, donc le bot IA réglera tout comme demandé.
Pas de sandbox
Les extensions normales fonctionnent dans un environnement sandbox, mais pas DXT. DXT donne à Claude un accès complet au système d’un utilisateur, car cela est nécessaire pour effectuer des tâches pour cet utilisateur. Dans l’exemple ci-dessus, Claude transmettra les instructions à une extension MCP locale avec des droits d’exécution. En conséquence, le code malveillant complet est téléchargé, enregistré et exécuté sur un système sans intervention d’un utilisateur.
Selon LayerX, le risque survient lorsque Claude décide de manière autonome de combiner différents connecteurs. Une source à faible risque perçu, telle que Google Agenda, peut ainsi fournir des données à une extension locale avec des droits d’exécution. Il n’existe aucune restriction intégrée qui bloque par défaut de tels flux de données.
lire aussi
Anthropic intègre des applications telles que Slack, Figma et Canva dans Claude
L’attaque ne nécessite aucune manipulation complexe. Un utilisateur n’a qu’à demander de vérifier les rendez-vous récents et de « s’en occuper » ou de « le régler ». Claude peut interpréter cela comme une autorisation d’entreprendre d’autres actions.
Faille structurelle dans l’architecture
Selon LayerX, cela indique une vulnérabilité architecturale plus large au sein des workflows basés sur MCP. La transmission automatique de données entre des connecteurs avec différents profils de risque crée un vecteur d’attaque difficile à maîtriser. LayerX a informé Anthropic, mais selon l’entreprise, le problème n’a pas été résolu pour le moment.
Tant qu’il n’y aura pas de garanties supplémentaires concernant le contrôle d’accès et la séparation des pouvoirs, les connecteurs MCP constituent, selon les chercheurs, un risque pour les environnements sensibles à la sécurité. Ou, pour le dire autrement : si vous ne donneriez pas accès à un système à un stagiaire crédule, ne donnez pas non plus des privilèges élevés à un bot IA.