Claude Cowork kann per versteckter Prompt‑Injection Dateien aus angebundenen Ordnern abziehen.
In Kürze
- Prompt‑Injection erlaubt Upload
- Isolationslücke wird ausgenutzt
- Patches noch ausstehend
Zwei Tage nach dem Start von Anthropic’s agentischem KI-System Claude Cowork haben Sicherheitsforscher eine kritische Lücke entdeckt: Angreifer können damit heimlich Dateien aus einem an Cowork angebundenen Ordner stehlen — ganz ohne menschliche Zustimmung.
Was genau passiert
Forscher von PromptArmor haben die Schwachstelle dokumentiert. Sie baut auf einer zuvor beschriebenen Isolationslücke in der Code-Ausführungsumgebung von Claude auf, auf die Sicherheitsforscher Johann Rehberger schon hingewiesen hatte. Anthropic hat die Lücke anerkannt, bislang aber offenbar noch keinen Patch geliefert; betroffen ist jetzt auch das neue Cowork-System.
So läuft der Angriff ab
- Du verbindest Cowork mit einem lokalen Ordner und lädst ein .docx-Dokument hoch, das als sogenannter „Skill“ dient — also eine Vorlage oder Anweisung, die das System benutzen kann.
- In der Datei steckt eine Prompt‑Injection: versteckte Anweisungen, etwa in 1‑Punkt‑Schrift und weiß auf weiß formatiert, sodass sie für Menschen praktisch unsichtbar sind.
- Wenn Cowork angewiesen wird, die Dateien mit diesem Skill zu analysieren, führt es die versteckte Anweisung aus. Die Injection bewirkt, dass Claude einen cURL‑Befehl absetzt und die größte Datei im Ordner an eine Upload‑API schickt — unter Verwendung eines API‑Schlüssels des Angreifers.
- Die Datei landet damit im Konto des Angreifers, der sie weiter auswerten kann. Für diesen Upload ist keine menschliche Überprüfung erforderlich.
- Die Demonstration funktionierte gegen das kleinere Modell Claude Haiku und gegen das größere Claude Opus 4.5. In Tests umgingen die Forscher die Sandbox der virtuellen Ausführungsumgebung, indem sie eine von Anthropic zugelassene API‑Domain nutzten — also die Schutzschicht, die eigentlich Code und System trennen soll.
Weitere entdeckte Probleme
- Die Forscher dokumentierten zusätzlich eine mögliche Denial‑of‑Service‑Schwachstelle: Wenn Claude versucht, eine Datei zu lesen, deren Dateiendung nicht zum Inhalt passt, kann die API wiederholt Fehler erzeugen. Diese Fehler können nachfolgende Chats beeinträchtigen.
- Prompt‑Injections sind in der KI‑Sicherheit seit Jahren bekannt und schwer vollständig zu verhindern. Agentische Systeme wie Cowork, die autonom handeln und Zugriff auf lokale Daten haben, vergrößern die Angriffsfläche deutlich — und machen den Schutz für Nutzer anders problematisch als klassische Phishing‑Angriffe.
Konkrete Folgen für Nutzer
- Wer solche Tools an lokale Daten oder freigegebene Ordner bindet, läuft Gefahr, dass Dateien unbemerkt an fremde Server gelangen.
- Schnelle Entwicklungszyklen können zusätzlich Risiken bringen: Anthropic selbst schrieb, Cowork sei größtenteils in kurzer Zeit von Claude erstellt worden.
- Nutzer, Entwickler und Betreiber müssen bei agentischen Systemen besonders auf Isolationsmechanismen, Datei‑Handling und die Prüfung von Drittinhalten achten.
Quellen
- Dokumentation von PromptArmor
- frühere Offenlegung der Isolationslücke durch Johann Rehberger
- Aussagen von Anthropic zur Anerkennung des Problems
Quellen
- Quelle: Anthropic
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
