Ein Kalendereintrag reicht: Schwere Sicherheitslücke in Claudes Desktop-Erweiterungen entdeckt

Sicherheitsforscher haben eine kritische Schwachstelle in Anthropics Claude Desktop Extensions gefunden. Ein manipulierter Google-Kalender-Eintrag kann ohne jede Nutzerinteraktion beliebigen Code auf dem Rechner ausführen. Anthropic will das Problem vorerst nicht beheben.

Das Sicherheitsunternehmen LayerX hat eine kritische Schwachstelle in Claude Desktop Extensions (DXT) aufgedeckt. Angreifer können demnach über einen einzigen Google-Kalender-Eintrag beliebigen Code auf dem Rechner eines Opfers ausführen, ohne dass dieses etwas davon mitbekommt oder bestätigen muss. Die Schwachstelle erhielt den höchstmöglichen Schweregrad von 10 aus 10 auf der gängigen CVSS-Skala und betrifft laut LayerX mehr als 10.000 aktive Nutzer sowie 50 DXT-Erweiterungen.

Claude Desktop Extensions sind Zusatzprogramme, die über Anthropics Marktplatz installiert werden können. Sie verbinden Claudes KI-Modell mit externen Diensten wie Google Calendar, E-Mail oder lokalen Werkzeugen auf dem Rechner. Optisch erinnern sie an Browser-Add-ons mit Ein-Klick-Installation.

Doch während Browser-Erweiterungen in einer abgeschotteten Umgebung laufen und keinen direkten Zugriff auf das Betriebssystem haben, arbeiten DXT-Erweiterungen laut LayerX ohne jede solche Abschottung und mit vollen Systemprivilegien. Sie können beliebige Dateien lesen, Systembefehle ausführen, gespeicherte Zugangsdaten abrufen und Betriebssystemeinstellungen ändern. LayerX bezeichnet sie als "privilegierte Ausführungsbrücken" zwischen Claudes Sprachmodell und dem lokalen Betriebssystem.

Anzeige

Claude kombiniert harmlose mit gefährlichen Werkzeugen

Das eigentliche Problem liegt laut den Sicherheitsforschern darin, wie Claude eigenständig entscheidet, welche der installierten Erweiterungen es miteinander kombiniert. Stellt ein Nutzer eine Anfrage, wählt Claude selbstständig aus, welche Werkzeuge es verkettet, um die Aufgabe zu erfüllen.

Dabei gibt es laut LayerX keine eingebauten Sicherheitsmechanismen, die verhindern, dass Daten aus einem harmlosen Dienst wie Google Calendar direkt an ein lokales Werkzeug mit Rechten zur Codeausführung weitergeleitet werden. Es fehlt also eine klare Grenze zwischen dem, was ungefährlich ist, und dem, was Schaden anrichten kann.

Der von LayerX dokumentierte Angriff kommt daher sogar ohne spezielle Tricks, ohne Verschleierung und ohne versteckte Anweisungen aus. Der gesamte Ablauf beginnt mit einem harmlosen Nutzer-Prompt: "Please check my latest events in Google Calendar and then take care of it for me."

Ein menschlicher Assistent würde dies als Bitte um Terminverwaltung verstehen. Claude hingegen interpretierte laut LayerX die vage Formulierung "take care of it" als Rechtfertigung, lokalen Code über eine Erweiterung auszuführen.

Für den Angriff genügt ein Kalendereintrag mit dem Titel "Task Management", der zwei Anweisungen enthält: das Herunterladen von Programmcode aus einem bestimmten Online-Verzeichnis und dessen Ausführung auf dem Rechner. Kein Bestätigungsdialog erscheint, keine weitere Nutzerinteraktion ist erforderlich. Das Ergebnis: Ein Angreifer erhält die vollständige Kontrolle über den Rechner des Opfers.

Anthropic wird das Problem vorerst nicht beheben

LayerX hat Anthropic über die Schwachstelle informiert. Laut den Sicherheitsforschern hat sich das Unternehmen jedoch entschieden, das Problem derzeit nicht zu beheben. Die Begründung: Das Verhalten sei konsistent mit dem beabsichtigten Design, das auf möglichst große Autonomie und Zusammenarbeit zwischen den Erweiterungen setzt. Eine Behebung würde die Fähigkeit des KI-Agenten einschränken, verschiedene Werkzeuge frei miteinander zu kombinieren, und damit seine Nützlichkeit verringern.

Die Empfehlung von LayerX fällt entsprechend deutlich aus: Bis sinnvolle Schutzmaßnahmen eingeführt werden, sollten die Erweiterungen nicht auf Systemen eingesetzt werden, auf denen Sicherheit eine Rolle spielt. Ein Kalendereintrag sollte niemals in der Lage sein, einen Rechner zu kompromittieren.

Bekannter Zielkonflikt zwischen Leistung und Sicherheit

Der Fall reiht sich in eine länger bekannte Problematik bei KI-Modellen und Cybersecurity ein. Udo Schneider, Governance, Risk & Compliance Lead Europe bei Trend Micro, weist darauf hin, dass aktuelle Sprachmodelle strukturell nicht zwischen Inhalten und Anweisungen unterscheiden können. Alles, was das Modell erhält, sei letztlich nur Text. Dieselben Mechanismen, die für kreative Antworten sorgen, machten das System auch anfällig dafür, Anweisungen aus fremden Quellen zu befolgen.

KI-Agenten verschärfen diese Anfälligkeit noch, da sie komplexer und eigenständiger agieren. Anthropics agentisches Claude Cowork oder der Hype-Agent OpenClaw lieferten dafür bereits konkrete Beispiele, viele ähnliche Systeme ebenso.

Schneider verweist auf eine bekannte Sicherheitsregel: Agenten sollten maximal zwei von vier Fähigkeitsklassen gleichzeitig nutzen, nämlich externe Kommunikation, Zugriff auf sensible Daten, Verarbeitung nicht vertrauenswürdiger Inhalte und Langzeitspeicher. In der Praxis nutzten Agenten jedoch oft alle vier, weil sie dadurch leistungsfähiger werden.

"Je mehr Fähigkeiten genutzt werden, desto höher ist das Risiko. Geht man dieses Risiko jedoch bewusst und kontrolliert ein, spricht auch wenig dagegen", so Schneider. "Das Problem ist nur, dass im Rahmen des Hypes vieles ohne Sinn und Verstand eingesetzt wird."

Dass Anthropic das Problem bewusst nicht behebt, bestätigt laut Schneider genau diesen Zielkonflikt: Sicherheit und Nützlichkeit stehen bei KI-Agenten in direkter Konkurrenz zueinander.