SchwachstellenHackerangriffeKI-Sicherheit

Claude-Browser-Erweiterung: Sicherheitslücke ermöglichte stille Prompt-Injection ohne Nutzerinteraktion

Claude-Browser-Erweiterung: Sicherheitslücke ermöglichte stille Prompt-Injection ohne Nutzerinteraktion
Zusammenfassung

Die Claude-Browser-Erweiterung von Anthropic war Anfang 2026 von einer kritischen Sicherheitslücke betroffen, die es Angreifern ermöglichte, ohne Zutun des Nutzers schädliche Anweisungen in das KI-Sprachmodell einzuschleusen. Die Schwachstelle, bezeichnet als „ShadowPrompt", verband zwei technische Fehler: Eine Cross-Site-Scripting-Lücke (XSS) in einer eingebetteten Sicherheitskomponente sowie unzureichende Überprüfungen in der Extension selbst. Ein Angreifer konnte diese Kombination ausnutzen, um allein durch den Besuch einer manipulierten Website beliebige Befehle an Claude zu senden – ohne dass der Nutzer etwas bemerkte oder zustimmen musste. Die potenziellen Folgen waren erheblich: Unbefugte könnten Zugangsdaten stehlen, auf Gespräche zugreifen oder im Namen des Nutzers handeln, etwa E-Mails versenden oder vertrauliche Daten anfordern. Besonders deutsche Nutzer, Unternehmen und Behörden, die Claude zur Datenverarbeitung oder internen Kommunikation nutzen, waren gefährdet, da sensible Informationen wie Login-Daten oder Geschäftsinhalte hätten kompromittiert werden können. Anthropic reagierte schnell mit einem Patch im Januar 2026, während der Sicherheitszulieferer Arkose Labs die XSS-Lücke ebenfalls behob.

Die Schwachstelle verkettete zwei untergeordnete Sicherheitsmängel miteinander. Zunächst existierte eine XSS-Vulnerabilität (Cross-Site Scripting) in der Arkose-Komponente auf der Domain “a-cdn.claude[.]ai”, die es Angreifern ermöglichte, beliebigen JavaScript-Code auszuführen. Ein bösartiger Code konnte dann direkt mit der Claude-Extension kommunizieren und Befehle an die KI übermitteln.

Das Kernproblem lag in der Vertrauensvergabe der Extension: Sie akzeptierte Prompts von einer sogenannten “Allow-List” von Domains ohne zusätzliche Überprüfung. Dies führte dazu, dass die von der Arkose-Domain eingeschleuste Anfrage als legitimer Nutzerbefehl behandelt wurde.

In der Praxis funktionierte der Angriff nach folgendem Schema: Ein Angreifer bettet die anfällige Arkose-Komponente in einen versteckten iFrame auf seiner manipulierten Webseite ein. Über die postMessage-Methode wird der XSS-Payload übertragen, woraufhin das injizierte Skript direkt den bösartigen Prompt an die Claude-Extension sendet. Das Opfer bemerkt von alledem nichts – keine visuellen Hinweise, keine Warnungen.

Die potenziellen Folgen einer erfolgreichen Ausnutzung waren erheblich: Angreifer hätten Zugriff auf sensitive Daten wie Zugangstoken erhalten, die vollständige Gesprächshistorie mit Claude einsehen und sogar Aktionen im Namen des Opfers durchführen können – etwa E-Mails versenden oder vertrauliche Informationen anfordern.

Nach verantwortungsvoller Offenlegung am 27. Dezember 2025 reagierte Anthropic schnell und veröffentlichte ein Update auf Version 1.0.41, das strikte Ursprungsprüfungen mit exaktem Domain-Abgleich implementiert. Arkose Labs behob ihrerseits die XSS-Lücke am 19. Februar 2026.

Der Sicherheitsforscher Yomtov warnt vor der grundsätzlichen Problematik solcher Browser-Extensions: “Je fähiger KI-Assistenten im Browser werden, desto wertvollere Angriffsziele sind sie.” Eine Extension, die den Browser navigieren, Anmeldedaten auslesen und E-Mails versenden kann, ist faktisch ein autonomer Agent. Die Sicherheit dieses Agenten hängt nur vom schwächsten Link in der Vertrauenskette ab – und genau dort lauert oft das Risiko.

Ähnliche Artikel