Claude桌面端扩展被披露存在日历文本触发的零点击远程代码执行风险

 2月11日，安全公司LayerX公开描述了Anthropic的Claude桌面端扩展机制“Claude Desktop Extensions”（相关页面也以MCP Bundles归类）在特定组合条件下可能被利用的风险路径：用户在Claude桌面端启用与Google Calendar相关的连接器后，若Claude被要求读取日历事件内容，模型可能把事件标题、备注或邀请描述里的自然语言当作可执行的操作步骤，并据此自动选择本机已安装且已被用户授权的MCP工具链完成一系列动作；在LayerX给出的复现过程中，攻击者先向目标发送包含恶意指令文本的日历邀请或在共享日程里写入指令，目标账号同步日程后，用户向Claude提出“查看我最近的日程并处理”“把会议事项整理成任务并执行”等请求，Claude读取到事件条目后将其中的指令当作任务流程推进，通过具备命令行/脚本能力的本地扩展触发下载、构建与运行代码，整个链路中不需要用户再进行二次点击确认。LayerX把该问题归类为“间接提示注入”叠加“工具自动编排”的高危场景，并给出CVSS 10/10的评估；同时描述了扩展中心页面对“沙箱”“权限控制”等表述与其测试时实际可触达权限范围之间的落差。LayerX还记录了其与Anthropic就威胁模型与处置范围的沟通结果，并强调该扩展机制正处于测试推进阶段，相关分发包以.dxt格式提供（ZIP归档，含manifest.json与本地MCP服务器），并出现向.mcpb等打包形态迁移的迹象。