Claude Desktopのブラウザ無断ブリッジ問題|macOSリスクと対処法2026
「Anthropicは安全を最も声高に謳うAI企業だ。だからこそ、これが一番ひどく感じる」——Hacker Newsのあるコメンテーターはそう書いた。2026年4月20日、プライバシーコンサルタントAlexander Hanffが発見したClaude Desktopの「静かなブラウザ侵入」は、数時間のうちにReddit、Mastodon、X(旧Twitter)を駆け巡った。
- macOSでClaude Desktopを使用中、または使用を検討しているエンジニア
- Chrome・Brave・Arcなどを普段使いしており、プライバシーを重視する方
- Anthropic製品のリスクを把握した上で使い続けるか判断したい方
- 企業でClaude Desktopの導入可否を検討しているセキュリティ担当者
何が起きたか:7つのブラウザに無断で橋を架けていた
2026年4月18日、プライバシーコンサルタントのAlexander Hanffは別のアプリケーションのデバッグ中に奇妙なファイルを発見した。ブラウザの設定フォルダ内にcom.anthropic.claude_browser_extension.jsonというマニフェストファイルが存在していたのだ。確認したところ、インストールしていないブラウザのディレクトリにまで存在していた。
HanffはクリーンなmacOSマシンでClaude Desktopをインストールして再現実験を行い、結果を4月18日に公開した(thatprivacyguy.com)。
Claude Desktopがインストール時・起動時に書き込むのは次の7つのChromiumブラウザの設定ディレクトリだ。
- Google Chrome
- Microsoft Edge
- Brave
- Arc
- Vivaldi
- Opera
- Chromium
問題は、これらのブラウザをインストールしていなくても、対応するディレクトリが作成された上でマニフェストが設置される点だ。将来そのブラウザをインストールした瞬間、自動的にブリッジが有効化される。
さらに深刻なのは永続性だ。マニフェストファイルを手動で削除しても、次にClaude Desktopを起動すれば即座に再作成される。The Register(2026年4月20日付)によれば「Claude Desktopは起動のたびにマニフェストを上書きする」。
ネイティブメッセージングブリッジの仕組みと何が可能になるか
「ネイティブメッセージング」はChromeが提供する正規の仕組みだ。ブラウザ拡張機能がローカルマシン上のプログラム(ネイティブアプリ)と通信するためのAPIで、本来は拡張機能の申請時にユーザーが明示的に許可するものだ。
Claude Desktopが設置するマニフェストは、Anthropicが提供する「Claude for Chrome」拡張機能のIDを事前に許可リストに登録する。これによってClaudeのChrome拡張機能は、インストール後にユーザーへの追加確認なしでローカルの実行ファイルを呼び出せる。
この実行ファイルが持つアクセス権限はブラウザのサンドボックス外、つまりユーザー権限で動作する。具体的に可能になるのは以下の操作だ。
- DOMの完全読取:開いているタブのHTML・テキスト内容を取得
- 認証済みセッションへのアクセス:ログイン中の銀行口座、Googleアカウント、管理コンソールなどへのアクセス
- フォームへの自動入力:フォームデータの書き込み
- バックグラウンドでの画面取得:一部構成では画面録画も可能とされる(Hanff、2026年4月)
Anthropicがこのブリッジでユーザーデータを収集している証拠はない。問題は攻撃者がこの経路を悪用できる状態が常に存在することだ。
プロンプトインジェクションとの組み合わせが危険な理由
ブリッジ単独では悪意のある第三者はアクセスできない。しかし「プロンプトインジェクション」と組み合わさると話が変わる。
プロンプトインジェクションとは、悪意のあるウェブサイトのコンテンツ内に隠された指示を埋め込み、AIアシスタントに意図しない動作をさせる攻撃手法だ。
Anthropic自身の研究資料によれば、Claude for ChromeはプロンプトインジェクションによるAI操作に対して緩和策なしで23.6%、緩和策ありで11.2%の成功率がある(Anthropic公式研究ページ)。
攻撃の経路はこうなる。悪意のあるサイト→Claude for Chrome拡張機能(プロンプトインジェクション)→ネイティブメッセージングブリッジ→サンドボックス外バイナリ→銀行口座やGoogle Driveなど。
実際、2026年1月に修正された「ShadowPrompt」脆弱性はこの経路の危険性を具体的に示した。研究者がClaude Chrome拡張機能の0クリック型XSSを発見し、悪意のあるサイトへの訪問だけでGmailアクセストークンの窃取、Google Driveファイルの読取、メールの不正送信が可能であることを実証した(The Hacker News, 2026年3月)。Anthropicはこの脆弱性を1月15日にパッチを当てて修正済みだが、ブリッジの仕組み自体は今も存在する。
Hanffの主張の核心はここにある。「現在の脆弱性が修正されても、新しい脆弱性が発見されるたびに、このブリッジは攻撃者にとっての永続的な特権経路として機能し続ける」。
専門家と一般ユーザーの反応
The Registerが報道した翌日(2026年4月21日)、HackerNewsにスレッドが立った(Hacker Newsスレッド)。反応は速く、分析的だった。
HanffはThe Registerに対して自分の体験を明確に述べた。「インストール中も、初回起動時も、通常使用中も、『ClaudeをBraveのブラウザ統合ブリッジに登録しますか?許可しますか、拒否しますか』と聞かれたことは一度もない。チェックボックスも、同意画面も、Claudeがどのような統合を登録したかを示すポストインストール設定画面も存在しなかった」(The Register, 2026年4月20日)。
HackerNewsでは「他のアプリの動作を無断で書き換えるアプリは、一般的にはマルウェアの範疇だ」という趣旨のコメントが複数の報道メディアで引用され、HardForum上でも「ツールを使うのは構わない。しかし、こういうやり口になった時点で一線を越えている」という声が上がった。
セキュリティ研究者Noah M. Kenney(Digital 520)は「スパイウェア」という表現には異議を唱えつつも、問題の本質は認めた。「技術的な主張はテスト可能であり、説明通り再現できる」。そして「ブラウザ拡張機能からブラウザサンドボックス外のローカル実行ファイルへの永続的なブリッジが、ユーザーの明確な認識なしにインストールされ、削除が難しい。セキュリティの観点から見ると、これは実質的に攻撃面を広げる」と述べた(Malwarebytes, 2026年4月22日)。
HanffはAnthropicに72時間以内のオプトイン設計への変更を求めるcease-and-desist書簡を送付した。Hanffの法的主張は、本人の同意なくデバイスに情報を保存・アクセスすることを禁じるePrivacy指令2002/58/EC第5条3項への違反だ。Hanffはブログ上でこう断言した。「これは暗いパターンだ。私の職業的な見解では、ePrivacy指令第5条3項への直接の違反であり、多数のコンピューターアクセスおよび不正使用法にも抵触する。十分な規模を持つ、安全を最も重視するAI企業として認知されようと多大な努力をしてきたベンダーから、このような実装が出てきた」(thatprivacyguy.com, 2026年4月18日)。
Anthropicの立場:2026年4月23日時点で、AnthropicはThe Register、Malwarebytesを含む複数のメディアからの取材依頼にコメントを返していない。Hanffのcease-and-desistへの公式回答も確認されていない。
光と影:ブリッジが存在する理由
一方でAnthropicがなぜこの設計を選んだかも理解しておく必要がある。
ネイティブメッセージングブリッジはClaude for ChromeとClaude Desktop間のローカル連携を実現する。クラウドを経由せず、ローカルで処理できるためプライバシーの観点では利点もある。Claude DesktopのMCP(Model Context Protocol)連携など、ローカルファイルやアプリとの高度な統合を可能にする。HNのあるコメンテーターが述べたように「ブラウザがローカルのClaudeと連携できれば、MCPやスキルをフル活用できる」——その実用上のニーズ自体は本物だ。
問題はその実装方法だ。ユーザーへの告知なし、オプトアウト手段なし、インストールしていないブラウザへの書き込み。これらが「悪意なき設計ミス」であっても、結果として攻撃面を広げる設計だと複数の研究者が指摘する。
Hanffが指摘するように「Claude for ChromeとClaude Desktopを積極的に使いたいユーザーへのオプトイン設計にすることは難しくない。なぜデフォルトオフにしなかったのか」は正当な問いだ。
今すぐできる対処法:3つの選択肢
選択肢1:コミュニティ製スクリプトで削除+ロック(推奨)
開発者のremivaiがGitHub Gistで公開したclaude-bridge-cleaner.shは、マニフェストファイルを削除し、そのパスをロックしてClaude Desktopによる再作成を防ぐ。
curl -O https://gist.githubusercontent.com/remivai/51a2554770e718584a55b7ae60a06e8f/raw/1918711d3c75eaa64453b844bfb1b648999b12c9/claude-bridge-cleaner.sh && bash claude-bridge-cleaner.sh注意:実行前にスクリプトの内容を確認することを強く推奨する。curlでダウンロードした後、bash claude-bridge-cleaner.shの前にcat claude-bridge-cleaner.shでコードを確認すること。実行すると対話形式でブラウザを選択し、ロックするかを確認する。Claude for Chrome拡張機能を積極的に使っているブラウザはロック対象から外すことができる。JSR(JavaScriptレジストリ)上でも@tylerbu/claude-cleanerとして類似ツールが公開されている。
選択肢2:手動削除(一時的)
macOSでの対象ファイルパスは概ね以下の形式だ。
~/Library/Application Support/[ブラウザ名]/NativeMessagingHosts/com.anthropic.claude_browser_extension.jsonただし削除後にClaude Desktopを起動すると再作成されるため、根本的な解決にはならない。
選択肢3:Claude Desktopをアンインストール
ブリッジそのものが不要な場合、または企業内でClaude Desktopの使用を停止する判断を下す場合はアンインストールが確実だ。Claude for Chromeはブラウザ拡張機能として独立しており、デスクトップアプリなしでも利用可能だ。
Claude for Chrome拡張機能自体は引き続き利用可能で、ブリッジを削除しても拡張機能の基本機能は維持される。ただし「Claude Desktop連携」機能(ローカルでの処理)は無効化される。Anthropic自身が認める11〜23%のプロンプトインジェクション成功率を念頭に置き、機密情報を扱うサイトを閲覧中は拡張機能をオフにすることを推奨する。
- 2026年1月:Claude for ChromeのShadowPrompt脆弱性(0クリックXSS)→1月15日パッチ済み
- 2026年3月:Claude Code ソースコードnpm誤公開事件
- 2026年4月:Claude Codeのdenyルール50個超コマンドで無効化される脆弱性→v2.1.90で修正済み
- 2026年4月:Claude Desktopブラウザブリッジ問題→2026年5月時点で対応未発表
Anthropicのセキュリティ関連記事をまとめて読む
Claude Codeのdenyルール脆弱性、KYC問題、ソースコード流出など、Anthropic製品のリスクを把握するための関連記事。
関連記事
- Claude CodeのdenyルールがAnthropicのセキュリティ脆弱性で無効化される問題
- ClaudeがパスポートとセルフィーでKYC開始|プライバシー問題を整理する
- Claude Codeソースコードがnpm誤公開で流出した件の全詳細
本記事は2026年4月〜5月に公開された複数のセキュリティ調査報告・報道に基づいて執筆しています。技術的事実の正確性に努めていますが、状況は変化する場合があります。記事中のePrivacy指令違反等の法的見解は研究者個人の主張であり、本メディアの法的判断ではありません。セキュリティ上の判断は自己責任で行ってください。Anthropicが本問題について公式見解を発表した場合、本記事を更新します。
