Sicherheits-Gau bei Anthropic: Claude-Extension in drei Stunden erneut gehackt

Die Claude-Erweiterung weist eine kritische Lücke auf. Forscher von LayerX umgingen Anthropic’s Sicherheits-Patch in Rekordzeit. Nutzerdaten sind gefährdet.

Das KI-Start-up Anthropic steht vor einem Sicherheitsproblem bei seiner Browser-Integration. Forscher des Sicherheitsunternehmens LayerX haben eine gravierende Schwachstelle in der „Claude in Chrome“-Erweiterung aufgedeckt, die es bösartigen Browser-Erweiterungen ermöglicht, den KI-Assistenten zu kapern. Ein am 6. Mai veröffentlichter Patch von Anthropic wurde von Sicherheitsanalysten innerhalb von nur drei Stunden erneut ausgehebelt. Die unter dem Namen „ClaudeBleed“ bekannte Schwachstelle verdeutlicht die Risiken, die durch die rasante Einführung mächtiger KI-Agenten in Browser-Umgebungen entstehen.

Vertrauensbruch im Browser: Die ClaudeBleed-Schwachstelle

Die betroffene Erweiterung (Version 1.0.69), die sich noch in der Beta-Phase befindet, wurde am 22. April 2026 veröffentlicht. Die Schwachstelle resultiert aus einem Fehler an der sogenannten „Trust Boundary“ (Vertrauensgrenze). Skripte, die innerhalb des Browsers laufen, können mit dem Large Language Model (LLM) von Claude kommunizieren, ohne dass die Erweiterung die Identität oder die Berechtigung des Anfragestellers ausreichend verifiziert.

Dieser Designfehler führt dazu, dass eine andere, potenziell bösartige Browser-Erweiterung, selbst wenn diese über keinerlei Berechtigungen verfügt, die Fähigkeiten des vertrauenswürdigen KI-Assistenten „erben“ kann. Das Sicherheitsmodell von Chrome wird hierbei effektiv ausgehebelt.

Zugriff auf Google Drive, E-Mails und Quellcode

Die Auswirkungen eines erfolgreichen Hijackings sind laut LayerX als „schwerwiegend“ einzustufen. Da Claude über weitreichende Berechtigungen des Nutzers verfügt, um produktive Aufgaben zu erledigen, kann ein Angreifer diese Privilegien missbrauchen. In Test-Szenarien konnten Forscher folgende Aktionen durchführen:

• Extraktion von Google Drive-Dateien: Dokumente wurden ausgelesen und an externe Server gesendet.
• Manipulation von E-Mails: In einem Testfall fasste die KI die letzten fünf E-Mails des Nutzers zusammen, verschickte die Zusammenfassung an ein externes Konto und löschte anschließend die gesendete Mail, um Spuren zu verwischen.
• Diebstahl von Quellcode: Private Repositories auf GitHub wurden kompromittiert.
• Daten-Exfiltration: Große Mengen sensibler Daten wurden im Hintergrund hoch- oder heruntergeladen.

Patch-Versagen: Umgehung der Fixes in drei Stunden

LayerX entdeckte die Lücke am 27. April und informierte Anthropic am Folgetag. Anthropic gab an, das Problem bereits zu kennen und veröffentlichte am 6. Mai die Version 1.0.70. Doch die Forscher stellten fest, dass dieser Patch die Ursache des Problems nicht beseitigte, sondern lediglich oberflächliche Prüfungen einführte.

Aviad Gispan, Principal Security Researcher bei LayerX, benötigte lediglich drei Stunden, um den neuen Schutzmechanismus zu umgehen. Der Patch von Anthropic blockierte zwar Remote-Befehle im „Standard-Modus“ der Erweiterung, doch Gispan fand heraus, dass die Befehle weiterhin ausgeführt werden konnten, wenn die Erweiterung in den „Privileg-Modus“ versetzt wurde. Und das ohne den Nutzer zu benachrichtigen oder um Erlaubnis zu fragen.

KI-Agenten als „tickende Zeitbombe“

Der Vorfall wirft ein Schlaglicht auf ein strukturelles Problem in der aktuellen KI-Entwicklung. Der Wettbewerb um die beste Nutzererfahrung führt dazu, dass Anbieter mächtige Funktionen in hohem Tempo freischalten, während grundlegende Sicherheitsaspekte vernachlässigt werden.

„Im aktuellen KI-Wettlauf bewegen sich die Anbieter zu schnell und gewähren mächtige Funktionen, um die Nutzererfahrung zu verbessern, während sie grundlegende Sicherheitsfundamente vernachlässigen. „Da KI-Agenten zur Norm werden, sind diese strukturellen Mängel eine tickende Zeitbombe.“

Aviad Gispan, Principal Security Researcher bei LayerX

Besonders kritisch ist, dass die Entscheidungsfindung von KI-Agenten stark von der Struktur einer Webseite (DOM-Struktur), sichtbarem Text und UI-Semantik abhängt. Da ein Angreifer diese Eingaben auf einer von ihm kontrollierten Webseite vollständig manipulieren kann, wird der KI-Agent zum Werkzeug für den Angreifer, ohne dass eine klassische Sicherheitslücke im Code vorliegen muss.

Warum ClaudeBleed so gefährlich ist

Laut LayerX ist die Schwachstelle aus mehreren Gründen besonders tückisch:

1. Keine Berechtigungen nötig: Eine bösartige Erweiterung benötigt keine speziellen Chrome-Berechtigungen, um Claude zu steuern.
2. Keine Interaktion erforderlich: Der Angriff erfolgt ohne Wissen oder Zutun des Nutzers.
3. Schwierige Erkennung: Da die Aktionen im Namen einer legitimen, installierten Erweiterung (Claude) ausgeführt werden, schlagen herkömmliche Sicherheitslösungen oft nicht an.

Empfohlene Gegenmaßnahmen für Entwickler und Unternehmen

Um solche Angriffe in Zukunft zu verhindern, schlägt LayerX konkrete technische Verbesserungen vor. Dazu gehört die Einführung von Authentifizierungs-Token zwischen der Erweiterung und der aufgerufenen Webseite (z. B. signierte Anfragen). Zudem sollte der Zugriff auf die Erweiterung (externally_connectable) strikt auf vertrauenswürdige Erweiterungs-IDs begrenzt werden, anstatt ganze Ursprungs-Domains (Origins) zuzulassen.

Nutzer sollten bis zur vollständigen Behebung der Lücke vorsichtig beim Einsatz von KI-Browser-Erweiterungen sein, die Zugriff auf sensible Konten wie Google Drive oder E-Mail-Postfächer haben. Die Tatsache, dass die Claude-Erweiterung noch im Beta-Stadium ist, unterstreicht die Risiken beim Einsatz von experimenteller Software in produktiven Umgebungen.