Zusammenfassung zeigen Zusammenfassung verbergen
Anthropic hat kürzlich die Research-Preview von Claude Cowork freigegeben – ein KI-Assistent für den Büroalltag. Sicherheitsforscher warnen inzwischen, dass die frühe Testversion Schwachstellen aufweist, mit denen vertrauliche Dateien unbemerkt abfließen können.
Claude Cowork soll Anwenderinnen und Anwendern helfen, Dokumente zu erstellen und zu bearbeiten, im Web zu recherchieren und auf Dienste wie PayPal, Canva, Slack oder Notion zuzugreifen. Das System kann sogar mit dem Browser und Servern interagieren, um Aktionen in der digitalen Arbeitsumgebung auszuführen. Anthropic beschreibt die Veröffentlichung als Research-Preview und will zunächst beobachten, wie das Tool eingesetzt wird, um daraus Verbesserungen abzuleiten.
Doch bereits jetzt hat das Sicherheitsunternehmen Promptarmor eine schwerwiegende Lücke gemeldet: In der aktuellen Testversion lassen sich über versteckte Eingaben sogenannte Prompt-Injection-Techniken ausnutzen, die zu einer unbeabsichtigten Datenweitergabe führen. Als Ursache nennen die Forscher Isolationsfehler in der Umgebung, in der Claude Code ausführt. Anthropic hat das Problem bestätigt, aber bislang noch keinen Patch geliefert.
Tomb Raider-Remaster spaltet Fans: KI-gestaltete Outfits ziehen Ärger auf sich
AliExpress Jubiläumsaktion: jetzt Gutscheine nutzen und bis zu 100 € sparen
Wie ein Angriff konkret funktioniert
Die von Promptarmor dokumentierte Angriffskette beginnt damit, dass ein Nutzer Claude Cowork Zugriff auf einen lokalen Ordner gewährt und eine externe Datei hochlädt, die auf den ersten Blick nützliche Befehle enthält. Solche Dateien werden oft zur Automatisierung von Analysen benutzt – sie können aber auch manipulierte Anweisungen verbergen.
Wenn der Assistent gebeten wird, die hochgeladenen Dokumente zu prüfen, kann eine eingebettete Instruktion das Modell dazu bringen, heimlich einen Upload auszuführen. In dem beschriebenen Szenario führt Claude einen HTTP-Aufruf (etwa über einen “curl”-Befehl) zur Anthropic-Datei-Upload-API aus und übermittelt dabei den API-Schlüssel der Angreifer. Das Resultat: die Datei landet auf dem Konto der Angreifenden, und es ist keine manuelle Freigabe durch den Nutzer erforderlich. Kurz: eine automatische Datei-Exfiltration über die Codeausführungs-Mechanismen.
Folgen für Unternehmen und Nutzer
Weil die Anthropic-API als vertrauenswürdig gilt, bleiben solche Übertragungen oft unentdeckt. Angreifende könnten so Zugriff auf interne Dokumente, vertrauliche Daten oder interne Arbeitsabläufe erhalten. Besonders gefährlich ist das, weil Claude Cowork bewusst mit der kompletten digitalen Arbeitsumgebung interagieren kann – somit steigt die Wahrscheinlichkeit, dass sensible sowie ungetestete Inhalte verarbeitet werden.
Die Kritik richtet sich auch gegen das Vorgehen von Anthropic: Die Research-Preview richtet sich nicht nur an technische Expertinnen und Experten, sondern an eine breite Nutzerschaft. Der Entwickler Simon Willison, der den Begriff der Prompt-Injection mitgeprägt hat, bringt es auf den Punkt: Es sei nicht vertretbar, normale Anwenderinnen und Anwender damit allein zu lassen und ihnen zuzumuten, nach „verdächtigen Aktionen“ zu suchen, die auf Manipulation hindeuten könnten.
Angesichts dieser Erkenntnisse sollten Organisationen und Einzelpersonen das Tool derzeit mit Vorsicht einsetzen. Vermeiden Sie das Verbinden sensibler lokaler Ordner, prüfen Sie fremde Dateien vor dem Hochladen und schränken Sie API-Schlüssel sowie Berechtigungen ein. Monitoring und eine genaue Überwachung von Kontoaktivitäten können helfen, unautorisierte Uploads schneller zu erkennen.
Was jetzt zu erwarten ist
Anthropic steht in der Pflicht, die isolationsbedingten Fehler in der Codeausführungsumgebung zu schließen und das Berechtigungsmodell von Claude Cowork robuster zu gestalten. Bis ein offizielles Sicherheitsupdate vorliegt, bleibt das System in der Preview-Phase ein mögliches Einfallstor für Datenlecks.
Die Diskussion zeigt außerdem ein größeres Problem: KI-Agenten, die weitreichend in Arbeitsabläufe eingreifen können, benötigen standardmäßig stärkere Schutzmechanismen und klare, nutzerfreundliche Sicherheitsvorgaben — sonst entsteht ein erhebliches Risiko für gerade jene Anwendergruppen, die sich am wenigsten technisches Hintergrundwissen aneignen können.
