Eine kritische Sicherheitslücke in den Claude Desktop Extensions ermöglicht Angreifern die vollständige Übernahme von Computern – ohne dass Nutzer etwas anklicken müssen. Die Schwachstelle nutzt die autonome Entscheidungsfähigkeit der KI aus.
Entdeckt wurde das Problem vom israelischen Cybersicherheitsunternehmen LayerX Security. Es betrifft schätzungsweise über 10.000 aktive Nutzer und mehr als 50 populäre Erweiterungen. Die Schwachstelle erhielt die maximale CVSS-Bewertung von 10,0. Trotzdem sieht Hersteller Anthropic den Fehler nicht in seiner eigenen Bedrohungsmodellierung.
So funktioniert der Angriff über den Kalender
Das Kernproblem ist kein klassischer Software-Bug, sondern ein „Workflow-Failure“ im Model Context Protocol (MCP). Dieser Standard verbindet KI-Modelle wie Claude mit lokalen Datenquellen und Ausführungswerkzeugen.
Viele Unternehmen sind auf genau solche Angriffspfade nicht vorbereitet. Aktuelle Studien zeigen, dass 73 % deutscher Firmen Cyberangriffe unterschätzen – besonders dann, wenn KI-Agenten direkte Systemrechte nutzen und lokale Erweiterungen ohne Sandbox laufen. Ein kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen (Sandboxing, Permission-Broker, Human-in-the-Loop-Gates) und wie Sie Kalender‑ und E‑Mail‑Angriffe frühzeitig erkennen und blockieren. Jetzt kostenlosen Cyber-Security-Report herunterladen
Der Angriff, von Forschern „Ace of Aces“ getauft, läuft in vier Schritten ab:
1. Der Köder: Ein Angreifer schickt eine Google Kalender-Einladung. In der Beschreibung versteckt er schädliche Befehle.
2. Der Auslöser: Das Opfer bittet Claude um Routineaufgaben wie „Zeig mir meinen Terminplan“.
3. Die Ausführung: Claude liest den Kalendereintrag. Da die KI zwischen Notiz und Befehl nicht unterscheiden kann, interpretiert sie den versteckten Text als legitime Anweisung.
4. Die Schadsoftware: Claude ruft autonom eine hochprivilegierte lokale Erweiterung auf – etwa für Terminal-Zugriff – und führt die Anweisungen des Angreifers aus.
Da die Erweiterungen mit vollen Nutzerrechten und ohne Sandbox laufen, erlangt der Angreifer sofort die vollständige Kontrolle über das System. Nutzer glauben indes, die KI organisiere nur ihren Tag.
Streit um Verantwortung: Nutzer vs. Plattform
Die Enthüllung löste eine Grundsatzdebatte über Sicherheitsverantwortung in der KI-Branche aus.
Anthropics Position: Geteilte Verantwortung
Der KI-Hersteller bestätigte die Funde, verteidigt aber seine Architektur. Ein Sprecher betonte, Claude Desktop richte sich an Entwickler. Nutzer müssten Erweiterungen manuell installieren und Berechtigungen erteilen. Wer ein Tool mit Terminal-Zugriff installiere, akzeptiere das Risiko, dass die KI es nutze. Die Sicherheitsrichtlinie liege außerhalb des aktuellen Bedrohungsmodells.
Experten fordern „Guardrails“
Sicherheitsanalysten halten diese Argumentation für gefährlich. Roy Paz, Leitender Forscher bei LayerX, spricht von einer „Trust Boundary Violation“. Der Mangel an Isolation zwischen Datenquellen (wie einem Kalender) und Ausführungswerkzeugen (wie einem Terminal) sei das Problem.
Kritiker verweisen auf traditionelle Browser-Erweiterungen, die in strikt abgeschotteten Sandboxes laufen. Claude-Erweiterungen hingegen operierten mit vollem Systemzugriff. Es sei unrealistisch, von Nutzern zu erwarten, die komplexen Interaktionsrisiken zwischen KI-Erweiterungen zu verstehen.
MCP: Eine wachsende Geschichte von Sicherheitsproblemen
Der neue Fund reiht sich in eine Serie von Schwachstellen ein, die auftreten, sobald KI-Agenten direkte Systemkontrolle erhalten.
Bereits im Juli 2025 wurde eine kritische Lücke (CVE-2025-6514) in mcp-remote entdeckt, die Kommandoausführung via manipulierter OAuth-URL erlaubte. Während dieser spezifische Fehler gepatcht wurde, zeigte er die Fragilität der Schnittstellen zwischen KI und Außenwelt.
Der LayerX-Fund ist anders: Er nutzt vertrauenswürdige Tools, die sich unerwartet verhalten, statt eines Code-Defekts. Er beleuchtet eine neue Klasse „Agentischer“ Schwachstellen, bei denen die Sicherheitslücke in der Autonomie und mangelnden Urteilsfähigkeit der KI selbst liegt.
Ausblick: Der Weg zu sicheren KI-Agenten
Die Entdeckung dürfte die Entwicklung von „Permission Brokern“ und granulareren Sicherheitskontrollen beschleunigen.
Sofortmaßnahmen für Nutzer:
Sicherheitsexperten raten Claude Desktop-Nutzern dringend, ihre installierten Erweiterungen zu überprüfen. Besonders riskante Tools – etwa für Dateisystem- oder Terminal-Zugriff – sollten aus Umgebungen entfernt werden, in denen auch nicht vertrauenswürdige externe Daten wie E-Mails verarbeitet werden.
Langfristige Änderungen erwartet:
* Sandboxed Execution: Erweiterungen laufen in isolierten Containern, nicht auf dem Host-Betriebssystem.
* Human-in-the-Loop Gates: Explizite Nutzerbestätigung, bevor eine KI von „Lesen“ zu „Ausführen“ wechselt.
* Kontextbewusstsein: Verbesserte Modelle, die bösartige Anweisungen in passiven Datenquellen erkennen.
Die Ära, in der KI-Agenten vom passiven Chatbot zum aktiven Systemoperator werden, erfordert sicherheitsorientierte Architekturen. Die Prämisse muss lauten: Alle externen Daten sind potenziell feindselig.
PS: Wenn Sie Claude Desktop oder andere KI-Agenten in Unternehmen oder im Home‑Office nutzen, lohnt sich Vorsorge. Der Gratis-Download fasst aktuelle Cyber‑Security‑Trends, Praxis‑Checks und sofort umsetzbare Kontrollen zusammen – inklusive Hinweisen zur KI‑Regulierung und wie Sie Erweiterungen sicher isolieren. Gratis-Cybersecurity-Leitfaden jetzt anfordern
