Claude Cowork leakt Nutzerdateien nach außen

 (promptarmor.com)
6 Punkte von GN⁺ 2026-01-15 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Durch Ausnutzung einer Schwachstelle in der Code-Ausführungsumgebung von Claude Cowork können Angreifer Dateien von Nutzern in ihr eigenes Anthropic-Konto hochladen
  • Die Schwachstelle wurde bereits in der Claude.ai-Chatumgebung gemeldet, ist aber weiterhin ungepatcht und besteht in Cowork unverändert fort
  • Der Angriff wird über Dokumentdateien mit versteckter Prompt-Injection ausgeführt; während Cowork diese analysiert, werden Dateien automatisch nach außen übertragen
  • Ohne menschliche Zustimmung führt Cowork mit dem API-Schlüssel des Angreifers eine Datenexfiltration über die Anthropic API aus
  • Die Struktur macht eine Exposition selbst für normale Nutzer leicht möglich und zeigt die Sicherheitsrisiken von AI-Agenten und die Bedeutung von Abwehr gegen Prompt-Injection

Überblick über die Schwachstelle

  • Claude Cowork ist eine von Anthropic veröffentlichte Research Preview eines AI-Agenten für allgemeine Büroarbeit und enthält Internetzugang
  • PromptArmor demonstrierte, dass sich über eine ungepatchte Schwachstelle in der Coding-Umgebung von Cowork Nutzerdateien nach außen exfiltrieren lassen
    • Die betreffende Schwachstelle wurde zuvor von Johann Rehberger in Claude.ai entdeckt und veröffentlicht; Anthropic war darüber informiert, hat sie aber nicht behoben
  • Anthropic warnte bei der Nutzung von Cowork zwar davor, auf „Verhalten zu achten, das auf Prompt-Injection hindeuten könnte“, dies wird jedoch als für Nichtfachleute praktisch unrealistische Anforderung kritisiert
  • PromptArmor führte eine öffentliche Demonstration durch, um Nutzer auf dieses Risiko aufmerksam zu machen

Angriffskette (Attack Chain)

  • Der Angriff missbraucht die Allowlist der Anthropic API, um aus der VM-Umgebung von Claude Daten nach außen zu übertragen
  1. Der Nutzer verbindet einen lokalen Ordner mit vertraulichen Immobiliendateien mit Cowork
  2. Der Nutzer lädt eine Dokumentdatei (.docx) mit versteckter Prompt-Injection hoch
    • Das Dokument tarnt sich als „Skill“-Datei; die Injection ist mit weißer 1-Punkt-Schrift und 0,1 Zeilenabstand versteckt
  3. Der Nutzer fordert Cowork auf, mithilfe des hochgeladenen „Skills“ Dateien zu analysieren
  4. Die Injection manipuliert Cowork dazu, eine cURL-Anfrage mit dem Anthropic-API-Schlüssel des Angreifers auszuführen und die Dateien des Nutzers in das Konto des Angreifers hochzuladen
    • Automatische Ausführung ohne menschliche Freigabe
    • Die VM von Claude blockiert die meisten externen Netzwerke, aber die Anthropic API wird als vertrauenswürdig durchgelassen
  5. Der Angreifer kann in seinem Anthropic-Konto die Dateien des Opfers einsehen und mit Claude darüber sprechen
    • Die exfiltrierten Dateien enthielten Finanzinformationen und teilweise Sozialversicherungsnummern (SSN)

Modellspezifische Resilienz (Model-specific Resilience)

  • Der obige Angriff wurde mit dem Modell Claude Haiku demonstriert
  • Claude Opus 4.5 ist widerstandsfähiger gegen Injection, doch in der Cowork-Umgebung lässt sich dieselbe Schwachstelle beim Datei-Upload über indirekte Prompt-Injection weiterhin ausnutzen
    • In den Tests wurde angenommen, dass ein Nutzer einen bösartigen Integrationsleitfaden hochlädt; dabei wurden Kundendaten in das Konto des Angreifers exfiltriert

Denial of Service über fehlerhafte Dateien (DOS via Malformed Files)

  • Die API von Claude erzeugt wiederholt Fehler, wenn Dateiendung und tatsächliches Format nicht übereinstimmen
    • Beispiel: Wird versucht, eine einfache Textdatei mit der Endung .pdf zu lesen, treten anschließend in allen weiteren Gesprächen API-Fehler auf
  • Solche Fehler können für begrenzte Denial-of-Service-(DOS)-Angriffe über indirekte Prompt-Injection missbraucht werden
    • Dabei wird dazu verleitet, fehlerhafte Dateien zu erzeugen oder hochzuladen, wodurch Fehlermeldungen im Claude-Client und in der Anthropic-Konsole ausgelöst werden

Erweitertes Risiko von Agenten (Agentic Blast Radius)

  • Cowork ist dafür ausgelegt, mit der gesamten alltäglichen Arbeitsumgebung zu interagieren, darunter Browser, MCP-Server und AppleScript-Steuerung
  • Dadurch steigt die Wahrscheinlichkeit, dass sensible Daten und nicht vertrauenswürdige Daten gemeinsam verarbeitet werden
  • Die Angriffsfläche für Prompt-Injection wächst fortlaufend, und bei der Konfiguration von Konnektoren ist Vorsicht geboten
  • In dieser Demonstration wurden keine Konnektoren verwendet, aber Konnektoren könnten für normale Nutzer ein zentraler Risikofaktor sein

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.