安全警报：Claude 插件成恶意载体，Google 日历被利用为入侵通道

以色列安全公司 LayerX 近日公开一项影响 Claude Desktop Extensions（现更名为 MCP Bundles）的严重漏洞。研究人员发现，攻击者可借此实现“零点击”远程代码执行，其风险在 CVSS 评分中达到最高的 10/10 分。

漏洞关键在于 Claude 会自动处理来自外部连接器（如 Google 日历）的输入。攻击者只需发送一封嵌入恶意指令的日历邀请，当用户让 Claude 代为处理日程时，模型可能自行决定调用具备命令执行权限的插件来执行隐藏指令。由于这一流程缺少强力防护，恶意代码可以在无需用户确认的情况下被下载、编译并运行。

对此，Anthropic 表示目前不打算修复。官方称 MCP 插件定位为本地开发工具，其安全边界由用户的配置与授权决定，用户需为自己选择安装并放行的本地服务器负责。安全专家则反驳称，尽管 Claude 宣称插件在沙箱中运行，但在面对复杂的间接提示注入（Prompt Injection）攻击时，现有的权限控制逻辑显然未能提供预期的保护。

划重点：

• 🚨 高危提醒： Claude 插件体系被曝存在满分级漏洞，攻击者可借 Google 日历事件实现零点击远程代码执行。

• 📅 攻击路径： 利用 AI 自动读取日历的特性，黑客将恶意指令伪装成日程，诱使 AI 调用高权限工具完成攻击。

• 🛡️ 官方态度： Anthropic 称此情形超出其当前威胁模型，强调由用户为所安装并授权的本地服务与插件承担安全责任。