安全公司LayerX披露了一项针对Claude桌面扩展的零点击远程代码执行漏洞。研究人员指出，攻击者可通过在Google日历中植入特定内容的事件，当用户让Claude阅读最新日程并协助处理相关事项时，系统可能在用户毫无察觉的情况下触发本地任意代码执行。该漏洞影响超过一万名活跃用户，并波及五十多个扩展组件，CVSS风险评分为10.0。LayerX已向Anthropic通报，但官方目前不计划修复。

漏洞成因：工作流程与信任边界设计缺陷

该风险不同于传统软件漏洞由单一组件代码错误引发，研究人员将其归因于工作流程与信任边界的设计缺陷。Claude在响应用户请求时，会自主判断需要调用的连接器与工具，并将来自不同来源的数据串联起来以完成任务。

桌面扩展的权限模型存在高风险

研究人员对Claude桌面扩展的权限模型提出警告。与浏览器扩展通常受沙箱和权限管控限制不同，桌面扩展在本地运行时缺乏沙箱隔离，其可访问的资源范围等同于操作系统上当前用户所拥有的权限，因此可能具备读取任意文件、执行系统命令、访问已保存凭证等能力。一旦环境中同时启用了可读取日历的连接器，并安装了具备命令执行能力的本地工具，模型就可能将日历事件中的文本误判为可直接执行的指令，从而扩大终端层面的安全风险。

厂商回应：需用户主动配置与授权

据外媒CSO Online报道，Anthropic发言人Jennifer Martinez表示，报告中描述的攻击情境成立的前提是，目标终端已自行安装相关MCP工具，并授权其在无需额外确认的情况下执行操作。她指出，Claude Desktop的MCP集成属于本地开发工具，用户需自行配置并授权要在本地运行的服务器。她同时提醒，企业和用户在部署MCP服务器时，应参照安装第三方软件的标准进行评估与管控，包括审查工具来源、权限范围和实际需求，避免在高权限环境中开放不必要的自动化路径。

安全建议：严格管控扩展与连接器

已部署Claude电脑版并允许安装桌面扩展的组织，应盘点终端上已启用的连接器与工具类型，避免在未经明确授权的情况下让模型跨越信任边界。Anthropic文档指出，桌面扩展支持签名与验证机制，团队与企业版管理员也可通过白名单控制组织内可用的扩展范围。