Anthropicは、Claude DesktopのCodeタブにあるブラウザペインを外部Webサイトへ開放した。Claudeはドキュメントやイシュートラッカーを開き、内容を読み、クリックや入力を実行できる。従来のブラウザペインは、開発中のアプリをローカルで動かし、DOMや画面を検査する用途が中心だった。今回、その検証手段が外部のWebサービスまで広がった。
これはターミナル版Claude Codeのすべてにブラウザが内蔵されたという話ではない。対象はClaude DesktopのCodeタブである。それでも、開発エージェントの仕事は広がる。仕様の確認から実装、ローカルでの動作検証、外部サービスへの反映までを、一つの作業画面で連続して扱えるからだ。
ローカル検証から外部サービスへ
Claude Code Desktopはすでに、コードを書き換えた後に開発サーバーを起動し、ブラウザペインで結果を確かめる機能を備えていた。Claudeはスクリーンショットを撮り、DOMを調べ、要素をクリックし、フォームに入力する。問題が見つかればコードへ戻り、修正と再検証を繰り返す。
新しいブラウザペインは、このループの先に外部Webを繋げた。macOSではCmd+Shift+B、WindowsではCtrl+Shift+Bでペインを開き、複数のサイトをタブで並べられる。チャット中の外部リンクを押すと、アプリ内で開くか、端末の既定ブラウザへ送るかを選べる。
この変化で、ブラウザは実装結果を映すプレビュー画面から、エージェントが外部環境とやり取りする実行面へ変わる。たとえば、仕様変更を公式ドキュメントで確かめ、実装し、ローカルで検証するまでを1セッションで進められる。データ入力やイシュー更新まで許可すれば、開発環境とSaaSの間にあった手作業も減らせる。
クリーンプロファイルとChrome拡張の使い分け
Anthropicは、アプリ内ブラウザとClaude in Chromeを異なる信頼境界に置いた。ブラウザペインは個人用ブラウザから分離したクリーンなプロファイルで動く。既定ブラウザの保存済みログインや閲覧履歴を初期状態で引き継がない。公開ドキュメントや検証用アカウントで使うなら、個人のWeb利用と混ざりにくい。
一方、Claude in ChromeはChromeやEdgeの拡張機能で、既存のログイン状態をClaude Codeと共有する。Gmail、Notion、Google Docsといった、日常的に使っているWebアプリを自分の権限で操作させたいときに向く。公式ドキュメントでは、ChromeまたはEdge、拡張機能バージョン1.0.36以上、Claude Code 2.0.73以上を要件としている。Anthropicの有料4プランが対象で、Bedrock、Vertex AI、Microsoft Foundry経由のみでClaude Codeを使う環境には提供されない。
ただし、「クリーン」はログインできないという意味ではない。ブラウザペインはGoogle OAuthのポップアップを含むサインインに対応し、セッションの保持も選べる。認証したあとは、そのペインが見られる情報をClaudeも読める。開発・検証用の独立アカウントを使うか、ログイン不要のサイトに限るか。そうした運用判断が安全性を左右する。
自動操作に残された承認ライン
外部サイトへの書き込みには、コード編集とは別の制御がかかる。クリックや文字入力などの操作は、すべての権限モードでセーフティ分類器が実行前に審査する。AutoやBypass permissionsでも例外ではない。分類器が危険と判断すれば、Claudeは止まり、ユーザーの承認を求める。
さらに、AutoとBypass permissions以外のモードでは、新しいドメインへ移動する前にallowlistを確認する。初回操作時は、今回だけ許可するか、そのサイトを常に許可するか、拒否するかを選ぶ。承認はサブドメインごとに必要で、常時許可は端末に保存され、後から取り消せる。
許可は無制限の代理権ではない。Anthropicは、購入、アカウント作成、CAPTCHA回避をClaudeが勝手に進めないよう制限している。外部ページの操作は、ローカルホストでのプレビューと同じ感覚で扱えても、結果の取り消しやすさや第三者への影響は違う。その差を承認フローで吸収する設計だ。
ブラウザが広げるのは生産性と攻撃面の両方だ
Webページは、Claudeにとって作業画面であると同時に、信頼できない入力源でもある。Anthropicが最大の危険として挙げるのが、Webサイトやメール、文書に隠された指示でAIの行動を変えるプロンプトインジェクションだ。外部サイトを読む権限と、コードや外部サービスを書き換える権限が同じセッションにあるため、攻撃が成功したときの影響は大きい。
Anthropicは、Claudeのコンテキストに入るコンテンツと、Claudeが実行する個々の操作を、それぞれ別の分類器で確かめると説明する。危険と判定した操作は遮断するか、人の承認まで保留する。ただ、Anthropic自身も未知の攻撃を含めて危険をゼロにはできないと認めている。分類器があることと、機密情報を安心して開けることは同義ではない。
企業向けには、外部サイトを制限するallowlistとblocklistが用意される。すでにClaude in Chrome向けのリストを設定していれば、ブラウザペインもそれを引き継ぐ。管理者はbrowserExternalPageToolsで外部ページ上のClaudeツールを無効にできる。無効化しても従業員はページを開けるが、Claudeによる読み取りや操作はできなくなる。
導入時の判断は、ブラウザ機能を一律に開くか閉じるかでは粗すぎる。まず公式ドキュメント、ステージング環境、社内の検証用ツールに限定し、外部への書き込みが必要な業務だけ個別に許可する。その運用なら、開発ループの短縮と予期しない操作の発生率を並べて測れる。拡大するのは、その結果を確かめてからで遅くない。