Sicherheitslücke in Claude Cowork: So verschaffen sich Hacker unbemerkt Zugriff

Vor zwei Tagen hat Anthropic eine Research-Preview von Claude Cowork veröffentlicht. Dabei handelt es sich um einen KI-Assistenten, der im digitalen Arbeitsalltag verschiedene Aufgaben übernehmen soll, darunter das Erstellen und Bearbeiten von Dateien oder Recherchen im Internet. Das Tool kann auch auf externe Dienste wie Paypal, Canva, Slack oder Notion zugreifen. Aktuell befindet sich Claude Cowork noch in einer frühen Testphase. Anthropic möchte zunächst beobachten, wie Nutzer den KI-Agenten einsetzen, um daraus Erkenntnisse für Verbesserungen zu gewinnen.

Wie das Sicherheitsunternehmen Promptarmor berichtet, ist die aktuelle Testversion von Claude Cowork allerdings anfällig für Dateiexfiltrationsangriffe über indirekte Prompt-Injektionen. Ursache sind bekannte Isolationsfehler in der Codeausführungsumgebung von Claude. Anthropic hat die Schwachstelle zwar bestätigt, bislang aber nicht behoben.

Claude Cowork ist anfällig für Prompt Injection

Um die Risiken zu veranschaulichen, hat Promptarmor eine beispielhafte Angriffskette öffentlich dokumentiert. Zunächst verbindet das Opfer Claude Cowork mit einem lokalen Ordner, der vertrauliche Dokumente enthält. Anschließend lädt es eine Datei hoch, die online gefunden wurde. In der Praxis ist dieses Vorgehen nicht ungewöhnlich, da solche Dateien häufig hilfreiche Prompts enthalten, mit denen sich umfangreiche Dokumente automatisiert analysieren lassen. Allerdings können sie auch versteckte Prompt-Injektionen enthalten. Dabei handelt es sich um eine Sicherheitslücke bei großen Sprachmodellen: Angreifer können bösartige Anweisungen in Nutzereingaben einbetten, um das Modell gezielt zu manipulieren.

Im nächsten Schritt bittet das Opfer Claude Cowork, die vertraulichen Daten auf Grundlage der hochgeladenen Datei zu analysieren – ohne zu wissen, dass diese unbeabsichtigte Anweisungen enthält. Die Injektion manipuliert den KI-Assistenten so, dass Dateien unbemerkt auf das Anthropic-Konto der Hacker hochgeladen werden. Konkret weist die Injektion Claude an, einen „curl“-Befehl auszuführen, um über die Anthropic-Datei-Upload-API eine Anfrage mit der größtmöglichen Datei zu senden. Gleichzeitig wird der API-Schlüssel der Angreifer übermittelt, sodass die Datei direkt auf dessen Konto landet. Besonders kritisch ist, dass während dieses gesamten Prozesses keine manuelle Freigabe erforderlich ist.

Experten kritisieren Warnungen als unzureichend

Da die Anthropic-API als vertrauenswürdig eingeschätzt wird, bleibt der Angriff in der Regel unentdeckt. So erhalten Hacker Zugriff auf die Dokumente des Opfers und sämtliche darin enthaltenen Informationen. Claude Cowork wurde unter anderem dafür entwickelt, mit der gesamten digitalen Arbeitsumgebung zu interagieren. Dazu zählen der Browser sowie MCP-Server, über die sich Funktionen wie das Versenden von Texten oder die Steuerung eines Macs ausführen lassen. Aufgrund dieser weitreichenden Zugriffsrechte ist es wahrscheinlicher, dass das Modell sowohl sensible als auch nicht vertrauenswürdige Daten verarbeitet, die von den Nutzern nicht manuell auf schädliche Inhalte geprüft wurden. Prompt-Injektionen werden dadurch zu einer immer größeren Angriffsfläche.

Nutzer sollten bei der Verwendung von Claude Cowork daher besondere Vorsicht walten lassen. Zwar weist Anthropic darauf hin, dass die Research-Preview mit erhöhten Risiken verbunden ist, überlässt den Umgang damit allerdings weitgehend den Anwendern selbst. Da sich das Tool aber an eine breite Zielgruppe und nicht nur an technisch versierte Nutzer richtet, stößt dieses Vorgehen auf Kritik. Der britische Softwareentwickler Simon Willison, der den Begriff der Prompt Injection geprägt hat, sagt: „Ich halte es nicht für fair, normalen Nicht-Programmierern zu sagen, sie sollen auf ‚verdächtige Aktionen achten, die auf eine Prompt-Injection hindeuten könnten‘!“

Dieser Beitrag ist zuerst auf t3n.de erschienen.

(jle)