Claude versão desktop enfrenta críticas de "software de espionagem"! Alterou configurações de acesso sem consentimento, suspeita de violar leis da União Europeia

O investigador acusa que a versão de mesa do Claude foi instalada sem consentimento em vários navegadores, gerando controvérsia sobre “software espião” e preocupações de violação da legislação de privacidade da UE. Opiniões divergentes surgem, com especialistas a apelar por maior transparência por parte das autoridades para garantir a segurança cibernética.

Investigador de segurança acusa a versão de mesa do Claude de ser um “software espião”

Já instalou a versão de mesa do Claude? O investigador de segurança Alexander Hanff publicou recentemente que a aplicação de mesa do Claude, sem o consentimento do utilizador, instala silenciosamente ficheiros de configuração de mensagens nativas do navegador no computador.

Hanff, ao verificar um Mac, descobriu que o programa escreve ficheiros de configuração específicos dentro de pastas de sete navegadores baseados em Chromium, incluindo Brave, Google Chrome, Edge, Arc, Vivaldi e Opera, e que essa escrita até cobre navegadores que ainda não estavam instalados.

Ele aponta que essa operação é feita de forma oculta por padrão, sem mecanismo de consentimento do utilizador, e que é difícil de remover. O programa não só pré-autoriza três identificadores de extensões de navegador ainda não instaladas, como também o nome dos ficheiros não indica claramente o âmbito da autorização, além de pré-autorizar a execução de ficheiros nativos de navegadores que ainda não existem.

Se as extensões forem ativadas, o executável auxiliar poderá ler o estado de login do navegador, conteúdo de páginas web, preencher formulários automaticamente e capturar a tela.

Fonte: artigo de Alexander Hanff. Investigador de segurança acusa a versão de mesa do Claude de ser um “software espião”

Hanff aponta que, de acordo com dados de segurança próprios da Anthropic, a extensão do Claude para Chrome, sem defesas, enfrenta uma taxa de sucesso de 23,6% em ataques de injeção de prompts, caindo para 11,2% com as defesas atuais.

Num cenário em que um conector é pré-instalado no portátil do utilizador, um ataque de injeção de prompts bem-sucedido na extensão daria acesso a uma via de invasão, permitindo que a extensão e o conector acionem ficheiros auxiliares que operam fora da sandbox do navegador, com privilégios do utilizador.

Ele acusa que o comportamento da versão de mesa do Claude assemelha-se a um “modo escuro” (design fraudulento) e a “software espião”, operações que ultrapassam os limites de confiança e violam gravemente a privacidade do utilizador.

Possível violação da legislação da UE?

Hanff e Noah M. Kenney, fundador da consultora digital Digital 520, também apontam que a versão de mesa do Claude pode violar o artigo 5, parágrafo 3, da Diretiva de Privacidade Eletrônica da UE, que exige que os provedores de serviços forneçam informações claras e obtenham consentimento do utilizador.

Hanff acredita que, independentemente do impacto legal, uma empresa considerada comprometida com segurança e privacidade ao público, ao lançar ferramentas que parecem contrariar essa postura, causará danos reputacionais severos e perderá a confiança dos utilizadores.

No entanto, Kenney mantém reservas quanto ao termo “software espião” usado por Hanff, afirmando que o programa não rouba dados ativamente, mas concorda que as autoridades europeias interpretam de forma rigorosa as isenções necessárias, e que instalar funcionalidades integradas em aplicações sem consentimento explícito representa um risco elevado de sanções regulatórias.

Claude de mesa é um software espião? Opiniões divergentes

Fóruns de engenheiros, como o Hacker News, apresentam opiniões divididas. Alguns engenheiros confirmaram, após testes, a instalação não autorizada, e criticaram a modificação de configurações de outros softwares independentes, considerando isso uma quebra de confiança fundamental entre programas.

Outro grupo de utilizadores argumenta que, na verdade, trata-se de uma operação padrão do mecanismo de mensagens nativas, e que chamá-lo de software espião é uma exagero, desde que não haja provas de vazamento de dados.

O ex-gerente técnico da Apple, Bogdan Grigorescu, também no LinkedIn, recomenda que utilizadores executem essas ferramentas de IA generativa em máquinas virtuais ou dispositivos dedicados, evitando instalá-las em computadores principais usados para finanças pessoais ou informações confidenciais.

Especialista em segurança Jason Packer critica duramente a prática de Anthropic de pré-autorizar identificadores de extensões que ainda não estão oficialmente na loja de aplicativos, considerando essa abordagem uma péssima prática de segurança na internet.

A Anthropic ainda não respondeu, e a questão ética do Claude está sob avaliação

A Malwarebytes, especializada em ferramentas anti-malware para Mac, afirma que a manipulação de mensagens nativas é um mecanismo padrão e legítimo do Chromium, mas que o Claude de mesa, ao escrever ficheiros de configuração em múltiplos caminhos de navegador sem informar claramente o utilizador, aumenta sem dúvida a superfície de ataque do computador.

A Malwarebytes avalia que, como o Claude precisa de extensões específicas para funcionar corretamente, rotulá-lo como software espião é injusto. Contudo, a Anthropic poderia adotar uma abordagem mais transparente, informando claramente as alterações feitas ao sistema e permitindo que o utilizador avalie os riscos antes de aceitar a instalação.

Até o momento da publicação, a Anthropic não fez declarações oficiais. A mídia The Register e a Malwarebytes solicitaram comentários à empresa, mas ainda não receberam resposta.