Claude Desktop installiert heimlich Browser-Brücken – und öffnet eine Tür zur Sandbox

Was der Installer im Hintergrund macht

Der Datenschutzberater Alexander Hanff stiess beim Debugging auf eine unerwartete Entdeckung: Der Claude-Desktop-Installer für macOS legt eine Native-Messaging-Manifest-Datei an (com.anthropic.claude_browser_extension.json), die drei Chrome-Extension-IDs vorautorisiert – darunter die Claude in Chrome-Extension. Das passiert ohne Einwilligung, ohne Hinweis und sogar für Browser, die noch gar nicht installiert sind. Wird Chrome später aufgesetzt, hat Claude bereits Zugang.

Die Brücke aus der Sandbox

Der eigentliche Knackpunkt ist die Architektur dahinter: Die Extension erhält über einen Native Messaging Host – eine binäre Brücke – Zugang zu einer lokalen Anwendung, die ausserhalb der Browser-Sandbox mit vollen User-Rechten läuft. Keine Permission-Dialoge, keine Bestätigung. Claude in Chrome kann authentifizierte Sessions lesen, Webseiten auslesen, Formulare ausfüllen und den Bildschirm erfassen – und der Weg führt von der Extension über die Brücke direkt zum lokalen System.

23,6 Prozent Prompt-Injection-Erfolgsrate

Anthropic selbst beziffert die Prompt-Injection-Erfolgsrate bei Claude for Chrome auf 23,6 Prozent ohne Schutzmassnahmen und 11,2 Prozent mit den aktuellen Mitigationen. Heisst: Etwa jeder neunte Angriff kommt durch – und hat dann einen Pfad von der Extension durch die Brücke zum lokalen System mit User-Rechten. Für ein Tool, das auf jedem Laptop vorinstalliert wird, ist das ein beachtliches Angriffsfenster.

Europäisches Recht als Hürde

Hanff argumentiert, dass die stille Installation gegen Artikel 5(3) der EU-ePrivacy-Richtlinie (2002/58/EC) verstösst, die eine informierte Einwilligung vor dem Zugriff auf Endgeräte verlangt. Auch nationale Computer-Missbrauchsgesetze könnten tangiert sein. Anthropic hat auf Anfrage von The Register nicht reagiert.

Screenshots: 30 Tage gespeichert

Separat gibt es Bedenken zur Computer Use-Funktion: Anthropic speichert Screenshots, die Claude bei der Desktop-Steuerung aufnimmt, standardmässig 30 Tage lang. Die Daten werden laut Anthropics Privacy Center automatisch gelöscht, sofern keine abweichende Vereinbarung besteht. Aber: Bei erfolgreicher Prompt Injection könnten diese Screenshots abgegriffen werden.

Schweiz-Kontext

Für Schweizer Nutzer ist die Situation doppelt relevant. Erstens: Das Schweizer Datenschutzgesetz (nDSG) verlangt – ähnlich wie die ePrivacy-Richtlinie – Transparenz und Einwilligung beim Zugriff auf Endgeräte. Zweitens: Claude Desktop ist in der Schweiz weit verbreitet, gerade bei Entwicklern und Tech-Teams. Wer die App installiert hat, sollte prüfen, ob unerwünschte Browser-Extensions vorautorisiert wurden – unter ~/Library/Application Support/Google/Chrome/NativeMessagingHosts/ auf macOS.