Claude 插件惊现“零点击”远程漏洞，黑客只需发个日历邀请就能控制你的电脑

以色列安全公司 LayerX 最近揭露了一个足以让所有使用 Claude 桌面版的用户捏把汗的漏洞：攻击者无需你点任何链接、无需你下载任何文件，甚至不需要你主动互动——只要在你的 Google 日历里发一条精心设计的邀请，就能在你不知情的情况下，让 Claude 自动执行恶意代码，直接控制你的设备。

这个漏洞的危险程度被评估为 CVSS 10/10，属于最高危等级。它利用的是 Claude 自动处理日历、邮件等外部数据的“智能助手”特性。当你允许 Claude 同步 Google 日历、查看待办事项时，它会自动分析内容，并可能调用你安装的第三方插件（现称 MCP Bundles）来“帮你完成任务”。而攻击者，正是把恶意指令藏在了日历事件的标题、描述或备注里——比如伪装成“安排会议”、“生成报告”之类的正常请求。

一旦 Claude 判断这个任务需要“外部工具”协助，它就会自动触发插件，执行隐藏在文本中的命令。这些插件拥有访问本地文件系统、执行 shell 命令甚至下载二进制文件的权限。整个过程没有任何弹窗、没有用户确认，就像你让助理帮你订餐，结果他偷偷打开了你的电脑终端，开始安装后门。

Anthropic 不打算修？官方回应引发争议

当 LayerX 向 Anthropic 报告漏洞后，对方的回应令人震惊：他们表示“这不是安全问题”，并称 MCP 插件是给开发者用的本地工具，安全责任在用户自己——你装了插件、给了权限，出了事怪你自己。

这话听起来像在甩锅。因为 Claude 官方一直宣传插件运行在“沙箱”中，是安全可控的。可现实是，攻击者根本不需要突破沙箱——他们利用的是 AI 自主决策的逻辑漏洞。你让 AI 看日历，它觉得“这个任务需要执行脚本”，于是它自己点了“运行”。这不是用户误点，这是 AI 自己“想帮忙”帮出了事。

安全研究员指出，这和几年前 WhatsApp 的“阅后即焚”漏洞如出一辙：不是用户不小心点了链接，而是系统自动处理了恶意数据。如果连 AI 助手都能被“提示注入”操控，那我们还能相信谁？

你可能正在用一个“随时能被黑”的助手

目前，Claude Desktop 版本在全球有数百万活跃用户，其中相当一部分是开发者、设计师、研究人员——这些人往往安装了多个本地插件，比如连接 Notion、GitHub、终端工具等，权限开放程度远超普通用户。

更可怕的是，这个漏洞不需要任何技术门槛。攻击者甚至不需要钓鱼邮件，只需要在你同事、朋友或公开日历里发一条“周五下午3点，项目复盘会”——附带一段 Base64 编码的恶意命令，就能悄无声息地植入系统。而你，只会看到 Claude 说：“已帮你安排会议，相关文档已生成。”

目前，Anthropic 没有发布任何补丁，也没有建议用户禁用插件。LayerX 建议：如果你不是开发者，立刻在 Claude 设置里关闭所有第三方插件；如果你必须使用，请确保插件来源可信，且不要授予它们“执行命令”或“访问文件系统”的权限。

这不是科幻剧情。这是今天正在发生的现实。你的 AI 助手，可能比你更早一步，打开了黑客的大门。