Kritische Lücke in Anthropic‑DXT: Ein Kalender‑Event kann deinen PC übernehmen

DXT laufen mit Systemrechten: Ein Kalender‑Event kann ohne Interaktion Code ausführen.

In Kürze

• CVSS 10/10; >10k Nutzer
• DXT haben volle Rechte
• Patch ausstehend

Sicherheitsforscher von LayerX haben eine kritische Sicherheitslücke in den Claude Desktop Extensions (DXT) von Anthropic entdeckt: Ein manipuliertes Google‑Kalender‑Ereignis kann auf betroffenen Rechnern ohne jede Nutzerinteraktion beliebigen Code ausführen. Die Schwachstelle wurde mit dem Maximum von 10/10 auf der CVSS‑Skala bewertet. Laut LayerX sind mehr als 10.000 aktive Nutzer betroffen und etwa 50 DXT‑Erweiterungen.

Was sind DXT und worin liegt das Risiko?

DXT sind Zusatzmodule aus Anthropic‑Marktplatz, die das Sprachmodell Claude mit Diensten wie Google Calendar, E‑Mail oder lokalen Werkzeugen auf deinem Rechner verbinden. Sie lassen sich ähnlich einfach installieren wie Browser‑Add‑ons. Im Unterschied zu klassischen Browser‑Erweiterungen laufen DXT laut LayerX jedoch nicht in einer abgeschotteten Sandbox, sondern mit vollen Systemrechten.

Das bedeutet:

• Sie können Dateien lesen,
• Systembefehle ausführen,
• gespeicherte Zugangsdaten auslesen und
• Betriebssystemeinstellungen ändern.

LayerX beschreibt sie als „privilegierte Ausführungsbrücken” — Verbindungen, die dem Sprachmodell direkten Zugriff auf das System geben.

Wie der Angriff funktioniert (vereinfacht)

Claude entscheidet autonom, welche installierten Erweiterungen es kombiniert, um eine Nutzeranfrage zu erfüllen. Fehlende Schutzmechanismen verhindern laut Untersuchung, dass Daten aus einem harmlosen Dienst (etwa Google Calendar) automatisch an ein lokales Werkzeug mit Code‑Ausführungsrechten weitergegeben werden dürfen. Im untersuchten Szenario interpretiert Claude eine vage Anweisung wie „Please check my latest events in Google Calendar and then take care of it for me.“ als Erlaubnis, lokal Code auszuführen.

Ein einzelner Kalendertermin mit dem Titel „Task Management“ kann demnach zwei Anweisungen enthalten:

• Lade Code aus einem Online‑Verzeichnis herunter
• und führe ihn aus.

Es erscheint kein Bestätigungsdialog, keine weitere Interaktion ist nötig — der Angreifer erhält so volle Kontrolle über den Rechner.

Warum das über einen einzelnen Bug hinausgeht

Der Fall macht einen grundlegenden Zielkonflikt bei KI‑Agenten sichtbar: Mit zunehmender Autonomie und vielen Schnittstellen steigt zwar die Nutzbarkeit, gleichzeitig aber auch die Angriffsfläche. Udo Schneider von Trend Micro weist darauf hin, dass Sprachmodelle Text nicht zuverlässig zwischen neutralen Inhalten und ausführbaren Anweisungen unterscheiden.

Agenten kombinieren oft mehrere riskante Fähigkeiten gleichzeitig —

• externe Kommunikation,
• Zugriff auf sensible Daten,
• Verarbeitung nicht vertrauter Inhalte
• und Langzeitspeicher —

was das Gesamtrisiko erhöht. Schneider ergänzt, dass solche Risiken bewusst eingegangen werden können, das derzeitige Problem aber darin bestehe, dass wegen des Hypes viele Systeme unkritisch eingesetzt werden.

Konsequenzen und Empfehlung

LayerX empfiehlt, DXT‑Erweiterungen nicht auf Systemen zu verwenden, auf denen Sicherheit eine Rolle spielt, bis geeignete Schutzmaßnahmen implementiert sind.

Anthropic wurde von LayerX informiert, hat die Schwachstelle jedoch bislang nicht geschlossen: Das beobachtete Verhalten entspreche dem beabsichtigten Designprinzip der Agenten, das auf maximale Autonomie und freie Kooperation zwischen Erweiterungen setzt; eine Einschränkung dieses Verhaltens würde nach Ansicht von Anthropic die Nützlichkeit der Agenten reduzieren.

Quelle

• Bericht von LayerX (laut Originaltext)

Quellen

• Quelle: Anthropic / LayerX
• Der ursprüngliche Artikel wurde hier veröffentlicht
• Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.