以色列安全公司 LayerX 近日披露了一个针对 Claude Desktop Extensions（现更名为 MCP Bundles）的严重漏洞。研究人员发现，攻击者可以利用该漏洞实现“零点击”远程代码执行，其潜在危害在 CVSS 评分中达到了最高的 10/10 分。

漏洞的核心在于 Claude 会自动处理来自外部连接器（如 Google 日历）的输入信息。攻击者只需发送一份包含恶意指令的 Google 日历邀请，当用户让 Claude 处理日程时，AI 模型可能会自主决定调用具有命令执行权限的插件来执行这些隐藏指令。由于 Claude 在处理此类工作流时缺乏硬核防护，恶意代码可以在无需用户确认的情况下被下载、编译并运行。

针对这一发现，Anthropic 公司表示目前不打算修复此问题。公司回应称，MCP 插件被设计为本地开发工具，其安全边界由用户的配置和权限决定，用户应对自己选择安装并授权的本地服务器负责。安全专家则反驳称，尽管 Claude 宣称插件在沙箱中运行，但目前的权限控制逻辑在面对复杂的间接提示注入（Prompt Injection）攻击时，显然未能提供预期的保护。