ClaudeBleed: Kritische Sicherheitslücke in KI-Assistenten entdeckt

Eine Schwachstelle in der Browser-Erweiterung von Anthropics Claude erlaubt Angreifern, die Kontrolle über den KI-Assistenten zu übernehmen. Betroffen sind Millionen Nutzer weltweit.

Sicherheitsforscher haben eine schwerwiegende Lücke in der offiziellen Browser-Erweiterung des KI-Modells Claude von Anthropic aufgedeckt. Die als „ClaudeBleed“ bezeichnete Schwachstelle ermöglicht es bösartigen Drittanbieter-Erweiterungen, die Kontrolle über den Assistenten zu übernehmen und sensible Daten aus Diensten wie Gmail, Google Drive und GitHub abzugreifen.

Da Cyberkriminelle gezielt Schwachstellen in KI-Tools ausnutzen, um an sensible Unternehmensdaten zu gelangen, wird proaktiver Schutz immer wichtiger. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Sicherheitslücken schließen und Ihre IT ohne großes Budget absichern. Gratis-E-Book: Jetzt vor Cyberangriffen schützen

Wie Angreifer die Sicherheitsbarrieren umgehen

Das Problem liegt in einem architektonischen Fehler der Erweiterung „Claude in Chrome“. Die Forscher des Sicherheitsunternehmens LayerX entdeckten, dass die Erweiterung eine Einstellung namens externally_connectable nutzt, die festlegt, welche externen Websites oder Erweiterungen mit ihr kommunizieren dürfen. Die Implementierung vertraut jedoch fälschlicherweise dem Ursprung der Anfrage – konkret der Domain claude.ai – anstatt den tatsächlichen Ausführungskontext des Skripts zu überprüfen.

„Selbst eine minimale Erweiterung ohne spezielle Berechtigungen kann Befehle direkt an die Claude-Erweiterung senden“, erklärt Aviad Gispan, leitender Forscher bei LayerX. Das bedeutet: Ein schädliches Plugin kann die weitreichenden Fähigkeiten des vertrauenswürdigen KI-Assistenten übernehmen und die Isolation umgehen, die das Chrome-Sicherheitsmodell eigentlich bieten soll.

Vom E-Mail-Postfach bis zum Quellcode

Die Forscher demonstrierten die Gefahr in mehreren kontrollierten Szenarien. In einem Fall nutzten sie eine gefälschte Erweiterung ohne spezielle Berechtigungen, um Claude zu zwingen, ein als vertraulich markiertes Dokument in Google Drive zu finden und an eine unbefugte externe E-Mail-Adresse weiterzuleiten.

Besonders perfide: Die Angreifer konnten auch die Bestätigungsabfragen umgehen, die Anthropic in die Erweiterung eingebaut hatte. Durch eine Methode namens „Approval Looping“ – bei der ein Skript wiederholt Bestätigungsnachrichten sendet – wurde die Zustimmung des Nutzers für sensible Aktionen vorgetäuscht. In einem weiteren test manipulierte der KI-Agent die letzten fünf E-Mails aus dem Gmail-Posteingang, übermittelte die Zusammenfassung an einen externen Server und löschte anschließend den Nachweis der gesendeten E-Mail.

Die Schwachstelle ermöglicht zudem den Diebstahl privater Quellcodes aus verbundenen GitHub-Repositories. Durch Manipulation des Document Object Models (DOM) konnten die Forscher die Beschriftung von Schaltflächen ändern – etwa einen „Teilen“-Button in eine harmlose „Feedback anfordern“-Option umbenennen.

Nur ein Teilerfolg: Anthropics Sicherheitsupdate

Der Zeitplan der Offenlegung zeigt ein komplexes Wechselspiel zwischen Forschern und dem KI-Entwickler. LayerX meldete die Schwachstelle am 27. April 2026 an Anthropic. Das Unternehmen reagierte zunächst mit dem Hinweis, der Fehler sei bereits bekannt und werde in einem kommenden Update behoben.

Am 6. Mai 2026 veröffentlichte Anthropic Version 1.0.70 der Erweiterung mit neuen Bestätigungsabläufen für privilegierte Aktionen. Doch die Forscher stellten fest: Dies war nur eine Teillösung. Zwar fügte der Patch interne Sicherheitsprüfungen hinzu, um die Ausführung von Remote-Befehlen im „Standard“-Modus zu verhindern. Doch die Erweiterung ließ sich weiterhin ohne Zustimmung des Nutzers in einen „privilegierten“ Modus schalten – die neuen Sicherheitsebenen waren damit wirkungslos.

Gispan gelang es, den Claude-Agenten auch nach dem Patch zu übernehmen. Anthropic hat angekündigt, dass ein umfassenderer Fix, der den verantwortlichen Nachrichtenhandler vollständig entfernt, in einer zukünftigen Version erscheinen soll.

KI-Erweiterungen: Das neue Einfallstor für Angreifer

Die ClaudeBleed-Schwachstelle ist kein Einzelfall. Eine Studie von LayerX vom 10. April 2026 analysierte die Nutzung von Browser-Erweiterungen auf über einer Million Unternehmensgeräten. Das Ergebnis: KI-fokussierte Erweiterungen sind zu 60 Prozent häufiger von bekannten Sicherheitslücken betroffen als andere Kategorien.

Während nur 15,4 Prozent aller Erweiterungen Skriptzugriff anfordern, sind es bei KI-Erweiterungen fast 42 Prozent. Zudem fordern KI-Erweiterungen dreimal häufiger Zugriff auf Browser-Cookies, die Sitzungstoken und Authentifizierungsdaten enthalten können. Etwa jeder sechste Unternehmensnutzer verwendet mittlerweile mindestens eine KI-Erweiterung – doch diese Tools bleiben für traditionelle Sicherheitsteams oft unsichtbar.

Während Browser-Erweiterungen neue Risiken bergen, stellt auch der EU AI Act Unternehmen vor weitreichende Dokumentations- und Sorgfaltspflichten. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung den notwendigen Überblick über alle neuen Fristen und Risikoklassen. Kostenloses E-Book zum EU AI Act herunterladen

Bereits Ende März 2026 wurde mit „ShadowPrompt“ eine weitere schwerwiegende Schwachstelle bekannt. Diese nutzte eine zu großzügige Ursprungs-Whitelist in der Claude-Erweiterung in Kombination mit einer Sicherheitslücke in einem Drittanbieter-CAPTCHA-Dienst.

Was Nutzer jetzt beachten sollten

Sicherheitsexperten raten dringend, die aktuellste Version der Claude-Erweiterung zu verwenden. Version 1.0.70 bietet zwar zusätzliche Schutzmaßnahmen, eliminiert die Gefahr von „Confused-Deputy“-Angriffen – bei denen ein vertrauenswürdiger KI-Assistent zu schädlichen Aktionen gebracht wird – jedoch nicht vollständig.

Für die Zukunft zeichnet sich ab: KI-Anbieter wie Anthropic müssen zu strengeren „kontextbewussten“ Sicherheitsmodellen übergehen. Es reicht nicht mehr, nur zu prüfen, woher eine Nachricht kommt – auch die Umgebung und die Absicht hinter jedem Befehl müssen verifiziert werden. Sicherheitsbehörden haben bereits „rote Linien“ für den Einsatz von agentischer KI gezogen und fordern mehr Transparenz darüber, wie diese Tools auf sensible Unternehmensdaten zugreifen.

Bis dahin gilt: Die Berechtigungen für KI-Erweiterungen sollten so gering wie möglich gehalten werden. Und Vorsicht ist geboten bei Drittanbieter-Plugins, die versuchen, mit privilegierten Assistenten zu interagieren. Die Entwicklung der Sicherheitsrahmenwerke hält derzeit nicht Schritt mit der Geschwindigkeit der KI-Integration in den Arbeitsalltag.

de | wissenschaft | 69297505 |