Im Zentrum von ShadowPrompt steht eine Cross-Site-Scripting-Schwachstelle (XSS), die das Ausführen von beliebigem JavaScript-Code im Kontext der Domain “a-cdn.claude.ai” erlaubte. Über diesen Weg konnte ein Angreifer Code einschleusen, der einen Prompt an die Claude-Erweiterung absetzt.
Die Erweiterung wiederum nahm den Prompt in Claudes Seitenleiste an, als handle es sich um eine legitime Eingabe des Nutzers – schlicht weil er von einer auf der Positivliste geführten Domain stammte. Erst aus dieser Kombination ergab sich der eigentliche Angriff.
Den Ablauf beschreibt Yomtov so: “Die Seite des Angreifers bindet die verwundbare Arkose-Komponente in einem versteckten iframe ein, sendet den XSS-Payload per postMessage, und das eingeschleuste Skript feuert den Prompt an die Erweiterung ab.” Das Opfer bemerke davon nichts.
Ein erfolgreicher Angriff hätte es ermöglichen können, sensible Daten wie Zugriffstokens zu entwenden, auf den Verlauf der Unterhaltungen mit dem KI-Agenten zuzugreifen und Aktionen im Namen des Opfers auszuführen – etwa E-Mails in dessen Namen zu versenden oder nach vertraulichen Daten zu fragen.
Nach der verantwortungsvollen Offenlegung am 27. Dezember 2025 veröffentlichte Anthropic einen Patch für die Chrome-Erweiterung in Version 1.0.41. Dieser erzwingt eine strikte Ursprungsprüfung, die eine exakte Übereinstimmung mit der Domain “claude.ai” verlangt. Arkose Labs behob die XSS-Schwachstelle auf eigener Seite zum 19. Februar 2026.
Koi Security ordnet den Fall in einen größeren Zusammenhang ein: Je leistungsfähiger KI-Browser-Assistenten würden, desto wertvoller seien sie als Angriffsziel. “Eine Erweiterung, die durch den Browser navigieren, Zugangsdaten lesen und in Ihrem Namen E-Mails versenden kann, ist ein autonomer Agent”, heißt es. Die Sicherheit dieses Agenten sei nur so stark wie der schwächste Ursprung innerhalb seiner Vertrauensgrenze.
