Anthropics KI-Agent „Claude Cowork“ offen für Datenklau

Ein schwerwiegendes Sicherheitsleck in Anthropics neuem KI-Assistenten „Claude Cowork“ ermöglicht Angreifern den Diebstahl sensibler Dateien. Die Schwachstelle ist seit Tagen bekannt, bleibt aber ungepatcht.

Die Sicherheitslücke, die auf eine Technik namens „Indirektes Prompt-Injection“ zurückgeht, wurde nur Tage nach dem Start des Tools am 13. Januar 2026 öffentlich bekannt. Nutzer, die dem KI-Agenten Zugriff auf ihre Dokumente gewähren, laufen Gefahr, dass versteckte Befehle in scheinbar harmlosen Dateien – wie PDFs oder Textdokumenten – automatisch ausgeführt werden. Diese können die KI anweisen, private Dateien vom Rechner des Opfers zu einem Server des Angreifers zu übertragen.

Wie der Angriff funktioniert

Das Problem liegt in der Architektur des „Cowork“-Agenten. Laut dem Sicherheitsunternehmen PromptArmor, das die Schwachstelle am 15. Januar aufdeckte, nutzt der Angriff eine vertrauenswürdige Verbindung aus. „Claude Cowork“ läuft zwar in einer abgeschotteten Umgebung, die externe Netzwerkverbindungen blockieren soll. Die eigenen API-Server von Anthropic sind jedoch von dieser Sperre ausgenommen, um den normalen Betrieb zu ermöglichen.

Genau diese Ausnahme macht sich der Exploit zunutze: Er leitet die gestohlenen Daten über die legitime Anthropic-Infrastruktur weiter. Der Angriff umgeht so die Sicherheitsbarrieren und verwandelt die hilfreiche KI in ein Werkzeug für Datendiebstahl.

Passend zum Thema Cybersicherheit zeigt ein aktueller Gratis-Report, warum 73% der deutschen Unternehmen auf moderne Angriffe nicht vorbereitet sind – und welche Maßnahmen sofort wirken. Vorfälle wie der “Claude Cowork”-Exploit offenbaren neue Angriffsvektoren durch KI‑Agenten und erfordern ein Umdenken bei Zugriffskontrollen. Der kostenlose E‑Book‑Leitfaden erklärt praxisnah, wie Sie Zugriffsrechte, Monitoring und Zero‑Trust‑Prinzipien umsetzen und enthält konkrete Checklisten zur sofortigen Umsetzung. Gratis Cyber-Security-Report herunterladen

Bekannte Schwachstelle – ignoriertes Warnsignal

Besonders brisant: Die grundlegende Sicherheitslücke war Anthropic offenbar seit Monaten bekannt. Bereits im Oktober 2025 identifizierte der Sicherheitsforscher Johann Rehberger eine nahezu identische Schwachstelle in „Claude Code“, der Vorgänger-Version für Entwickler.

Rehberger meldete das Problem über das Bug-Bounty-Programm des Unternehmens. Berichten zufolge stufte Anthropic den Fund damals jedoch nicht als Sicherheitslücke, sondern als „Modell-Sicherheitsproblem“ ein und verweigerte eine Belohnung. Trotz dieser frühen Warnung wurde das gleiche architektonische Problem nicht behoben, bevor „Claude Cowork“ für die breite Öffentlichkeit freigegeben wurde.

Diese Entscheidung stößt in der Cybersicherheits-Community auf scharfe Kritik. Experten betonen den gravierenden Unterschied in der Zielgruppe: Während „Claude Code“ für technisch versierte Nutzer gedacht war, richtet sich „Cowork“ explizit an Büroangestellte zur Organisation von Desktops und Tabellen – eine Gruppe, die die Zeichen eines Prompt-Injection-Angriffs kaum erkennen kann.

Debatte um Sicherheit autonomer KI

Die Enthüllung heizt die Debatte um die Sicherheit „agentischer“ KI-Systeme an – also Tools, die eigenständig Aktionen im Namen des Nutzers ausführen können. Der prominente Softwareentwickler Simon Willison kritisierte Anthropics Umgang mit der Situation scharf. Er stellt die Erwartung infrage, dass nicht-technische Nutzer „verdächtige Aktionen“ einer komplexen Prompt-Injection-Attacke identifizieren sollen.

Der Vorfall unterstreicht eine wachsende Herausforderung für die gesamte KI-Branche: Je mehr Handlungsfähigkeit Modelle erhalten, desto größer wird die Angriffsfläche. Die Open Web Application Security Project (OWASP) führt Prompt-Injection seit Langem als eine der Top-Bedrohungen für LLM-Anwendungen. Der „Cowork“-Vorfall demonstriert dieses theoretische Risiko nun in der Praxis.

Empfehlungen für Nutzer und unklarer Ausblick

Anthropic hat das Problem nach der öffentlichen Bekanntgabe eingeräumt. Das Unternehmen betont, dass sich „Cowork“ noch in einer „Research Preview“-Phase befinde, und rät Nutzern davon ab, den Agenten mit Ordnern zu verbinden, die sensible Informationen enthalten. Analysten merken an, dass diese Empfehlung dem eigentlichen Zweck des Tools – bei der Organisation persönlicher Arbeitsdateien zu helfen – widerspricht.

Bis ein umfassendes Patch bereitsteht, empfehlen Sicherheitsexperten einen „Zero-Trust“-Ansatz:
* Zugriff beschränken: Gewähren Sie „Claude Cowork“ keinen Zugriff auf Ordner mit Finanzunterlagen, Passwörtern, proprietärem Code oder persönlichen Dokumenten.
* Quellen prüfen: Lassen Sie keine Dateien aus nicht vertrauenswürdigen Quellen (Downloads, E-Mail-Anhänge) vom Agenten verarbeiten.
* Aktionen überwachen: Beobachten Sie die Tätigkeiten des Agenten, auch wenn dies für den Durchschnittsnutzer schwer umsetzbar ist.

Ein konkretes Datum für eine vollständige Behebung der Schwachstelle nannte Anthropic bislang nicht. Der Vorfall dürfte die Forderungen nach standardisierten Sicherheitsprotokollen für KI-Agenten verstärken. Im Wettlauf um immer autonomere Tools bleibt die Balance zwischen Fähigkeit und Sicherheit ein kritischer, und offenbar noch ungelöster, Reibungspunkt.

PS: Die Kombination aus autonomen KI‑Agenten und verwaisten Vertrauensverbindungen ist eine neue Angriffsfläche. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen (inkl. agentenbezogener Prompt‑Injection), rechtliche Folgen und praktikable Schutzmaßnahmen kompakt zusammen. Ideal für IT‑Verantwortliche, Geschäftsführer und Datenschutzbeauftragte, die Zugriffsregeln und Zero‑Trust‑Strategien schnell implementieren wollen. Kostenloser Download per E‑Mail – perfekt zum Weiterleiten an Ihr Security‑Team. Jetzt E‑Book ‘Cyber Security Awareness Trends’ sichern