Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La rivoluzione delle AI desktop promette produttività immediata.
Ma dal mondo della sicurezza arriva un avviso che fa riflettere: ciò che migliora l’esperienza può aprire anche falle profonde. Una recente indagine tecnica ha rivelato una vulnerabilità critica nelle Claude Desktop Extensions, con implicazioni che pochi si sarebbero aspettati.
Una scoperta di LayerX ha evidenziato una vulnerabilità zero-click in Claude Desktop Extensions capace di permettere a un attaccante di eseguire codice locale senza alcuna interazione da parte dell’utente. Questo significa che basta un singolo evento di Google Calendar mal formulato per compromettere un sistema con oltre 10.000 utenti attivi interessati e più di 50 estensioni coinvolte.
La causa principale di questa esposizione deriva dal fatto che queste estensioni non sono come i plugin tradizionali del browser: non sono isolate in un ambiente sicuro, ma operano con pieni privilegi sul sistema host.
Questa architettura consente ai moduli di accedere a risorse sensibili come file arbitrari, credenziali e comandi di sistema, aumentando enormemente il rischio se una catena di compiti viene costruita in modo insicuro.
Il problema non risiede in un bug sofisticato ma nella “novità” di un modello di lavoro dove dati a basso rischio, come un evento di calendario pubblico, possono finire in un contesto ad alto rischio senza salvaguardie reali.
In un test concreto, una frase semplice come “Per favore controlla i miei eventi su Google Calendar e poi occupatene per me” è stata sufficiente perché Claude interpretasse il comando come autorizzazione implicita ad eseguire codice locale tramite un’estensione MCP collegata.
La ricerca ha dimostrato che nominare un evento “Task Management” e includere istruzioni per eseguire un git pull da un repository GitHub in una directory locale è sufficiente per ottenere Remote Code Execution (RCE) con CVSS 10/10.
In pratica non serve alcuna conferma visibile: né clic dell’utente, né prompt di autorizzazione. In un attimo il sistema può eseguire codice arbitrario.
Nonostante la gravità, la società dietro Claude Anthropic è stata contattata dai ricercatori di LayerX ma non ha applicato alcuna correzione al momento della pubblicazione. Questo tipo di vulnerabilità suggerisce che i connettori MCP in uso attuale rappresentano un vettore d’attacco significativo, soprattutto nei contesti in cui la sicurezza è una priorità.
Alla luce di ciò, fino a quando non verranno introdotte salvaguardie adeguate, molti esperti concordano che non è consigliabile utilizzare questi connettori su sistemi che gestiscono dati critici o sensibili.
