一键沦陷！Claude桌面扩展零点击漏洞，谷歌日历即可投毒入侵

在人工智能以前所未有的速度重塑我们数字生活的今天，AI助手已从“效率工具”演变为能够读取文件、调用工具、执行复杂任务的“智能代理”。然而，当网络安全公司LayerX披露Anthropic的Claude桌面扩展存在一个CVSS评分高达10.0的“零点击”远程代码执行漏洞时，一个令人不安的现实被彻底暴露：我们最信赖的智能助手，可能正为我们打开一扇通往系统最深处的大门。这个漏洞的危险性，藏在“无需用户交互”的细节里。攻击者只需向目标用户发送一个精心构造的谷歌日历邀请，当用户让Claude“处理最新日历事件”时，AI模型会自动扫描事件内容，将其中的恶意指令（如下载并执行恶意代码）作为任务，转发给具有命令行权限的本地MCP服务器执行。整个过程无需用户点击确认，甚至无需察觉，系统权限便已被完全接管。

更令人担忧的是，该漏洞的根源并非传统软件的代码缺陷，而是AI应用的设计逻辑漏洞。Claude扩展以.dxt（现.mcpb）文件格式分发，本质上是包含本地服务器的ZIP包，却以宿主系统完整权限运行，缺乏有效隔离。当AI模型自主决定调用高风险扩展时，低风险的日历数据便成了恶意代码的“运输载体”——这彻底打破了“用户操作才是风险入口”的传统安全认知。

此次事件并非孤例。此前Claude Chrome扩展也曾曝出高危提示词注入漏洞，攻击者可通过恶意网页静默窃取用户Drive文档与访问令牌；而Anthropic秘密安装的浏览器后门程序，更让Claude能直接访问用户所有网站的登录状态。这些事件共同指向一个核心问题：当AI被赋予过高权限，却缺乏“行为边界”约束时，智能便成了安全的“阿喀琉斯之踵”。

对普通用户而言，及时更新Claude桌面应用到最新版本、卸载非必要的高权限扩展，是当前最直接的防护手段；而对企业来说，更需建立“AI权限分级”制度，禁止AI工具访问敏感系统，同时部署终端行为监测，识别异常的命令执行请求。

AI的价值在于赋能，而非埋雷。只有当安全设计跑在功能迭代之前，AI助手才能真正成为值得信赖的伙伴，而非潜藏在系统深处的“定时炸弹”。