Ein Sicherheitsforscher entdeckt, dass Anthropics Desktop-App ungefragt Browser-Extensions vorautorisiert. Die Brücke umgeht die Browser-Sandbox und läuft mit vollen User-Rechten.
Anthropics Claude Desktop installiert heimlich Browser-Brücken, die die Sandbox umgehen und mit vollen User-Rechten laufen – bei einer Prompt-Injection-Erfolgsrate von 11 Prozent ein ernstes Sicherheitsrisiko.
Der Datenschutzberater Alexander Hanff stiess beim Debugging auf eine unerwartete Entdeckung: Der Claude-Desktop-Installer für macOS legt eine Native-Messaging-Manifest-Datei an (com.anthropic.claude_browser_extension.json), die drei Chrome-Extension-IDs vorautorisiert – darunter die Claude in Chrome-Extension. Das passiert ohne Einwilligung, ohne Hinweis und sogar für Browser, die noch gar nicht installiert sind. Wird Chrome später aufgesetzt, hat Claude bereits Zugang.
Der eigentliche Knackpunkt ist die Architektur dahinter: Die Extension erhält über einen Native Messaging Host – eine binäre Brücke – Zugang zu einer lokalen Anwendung, die ausserhalb der Browser-Sandbox mit vollen User-Rechten läuft. Keine Permission-Dialoge, keine Bestätigung. Claude in Chrome kann authentifizierte Sessions lesen, Webseiten auslesen, Formulare ausfüllen und den Bildschirm erfassen – und der Weg führt von der Extension über die Brücke direkt zum lokalen System.
Anthropic selbst beziffert die Prompt-Injection-Erfolgsrate bei Claude for Chrome auf 23,6 Prozent ohne Schutzmassnahmen und 11,2 Prozent mit den aktuellen Mitigationen. Heisst: Etwa jeder neunte Angriff kommt durch – und hat dann einen Pfad von der Extension durch die Brücke zum lokalen System mit User-Rechten. Für ein Tool, das auf jedem Laptop vorinstalliert wird, ist das ein beachtliches Angriffsfenster.
Hanff argumentiert, dass die stille Installation gegen Artikel 5(3) der EU-ePrivacy-Richtlinie (2002/58/EC) verstösst, die eine informierte Einwilligung vor dem Zugriff auf Endgeräte verlangt. Auch nationale Computer-Missbrauchsgesetze könnten tangiert sein. Anthropic hat auf Anfrage von The Register nicht reagiert.
Separat gibt es Bedenken zur Computer Use-Funktion: Anthropic speichert Screenshots, die Claude bei der Desktop-Steuerung aufnimmt, standardmässig 30 Tage lang. Die Daten werden laut Anthropics Privacy Center automatisch gelöscht, sofern keine abweichende Vereinbarung besteht. Aber: Bei erfolgreicher Prompt Injection könnten diese Screenshots abgegriffen werden.
Für Schweizer Nutzer ist die Situation doppelt relevant. Erstens: Das Schweizer Datenschutzgesetz (nDSG) verlangt – ähnlich wie die ePrivacy-Richtlinie – Transparenz und Einwilligung beim Zugriff auf Endgeräte. Zweitens: Claude Desktop ist in der Schweiz weit verbreitet, gerade bei Entwicklern und Tech-Teams. Wer die App installiert hat, sollte prüfen, ob unerwünschte Browser-Extensions vorautorisiert wurden – unter ~/Library/Application Support/Google/Chrome/NativeMessagingHosts/ auf macOS.
Der Trilog zum Digital Omnibus on AI steuert auf die politische Einigung am 28. April zu. Parlament und Rat sind sich bei den Kernpunkten einig – und die Schweiz arbeitet parallel an der eigenen KI-Regulierung.
Der EU-AI-Act-Trilog steuert auf die Einigung am 28. April zu – mit fixen Fristen, Nudifier-Verbot und 63,2 Millionen Euro KI-Förderung. Die Schweiz bereitet parallel die Ratifikation der Europarats-KI-Konvention vor.
Das OMB gibt Kabinettsbehörden Zugang zu Anthropics gefährlichstem Modell. Zeitgleich trifft CEO Amodei Stabschefin Wiles im Westflügel – der Präsident will davon nichts wissen.
Das Weisse Haus öffnet Mythos für US-Kabinettsbehörden, während das Pentagon die Blacklist gegen Anthropic aufrechterhält – CEO Amodei verhandelt im Westflügel, Trump fragt: «Who?»
Eine Woche nach Anthropics Project Glasswing schlägt OpenAI zurück: GPT-5.4-Cyber ist für defensive Cybersecurity entwickelt und nur für verifizierte Security-Profis zugänglich.
Das Wettrüsten um KI-gestützte Cyberverteidigung hat offiziell begonnen – mit direkten Folgen für Schweizer Infrastruktur.
