Der Sicherheitsforscher Alexander Hanff hat einen Artikel mit dem Titel „Anthropic installiert heimlich Spyware, wenn Sie Claude Desktop installieren“ verfasst.
Behauptungen wie diese führen zwangsläufig zu gegensätzlichen Standpunkten, daher haben wir nach einer offiziellen Stellungnahme von Anthropic gesucht. Wir konnten jedoch keine finden. Es würde mich sehr überraschen, wenn sie von dieser Behauptung nichts wüssten, da sie bereits für einiges Aufsehen gesorgt hat.
Nutzer auf Mastodon, Reddit und LinkedIn bestätigen die Erkenntnisse des Forschers und diskutieren das Thema, sodass es schwer vorstellbar ist, dass Anthropic dies übersehen hat.
Betrachten wir zunächst die Behauptungen.
Bei der Untersuchung einer anderen Angelegenheit entdeckte der Forscher auf seinem Mac ein „Native Messaging“-Host-Manifest Mac er nicht bewusst installiert hatte. In Chrome anderen Chromium-basierten Browsern können Erweiterungen Nachrichten mit nativen Anwendungen austauschen, wenn sie einen „Native Messaging“-Host registrieren, der mit der Erweiterung kommunizieren kann.
Durch Tests auf einem sauberen Rechner stellte Hanff fest, dass die Installation von Claude Desktop für macOS ein „Native Messaging“-Host-Manifest in mehreren Chromium-Profilen (Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium) ablegt – sogar in solchen, die noch gar nicht installiert sind.
Das Native-Messaging-Host-Manifest teilt einem Chromium-basierten Browser mit, welche lokale ausführbare Datei aufgerufen werden soll, wenn eine Erweiterung einen nativen Host aufruft; diese Hosts werden außerhalb der Browser-Sandbox mit den Berechtigungen des aktuellen Benutzers ausgeführt. Hanff bezeichnet dies daher als „Hintertür“. Das Manifest autorisiert drei Chrome im Voraus, sodass jede Erweiterung mit diesen IDs den Helfer über connectNative, wodurch es Zugriff auf Funktionen zur Browser-Automatisierung erhält.
Ein weiterer Einwand lautet, dass Claude das einfache Löschen sinnlos macht, da das Manifest beim nächsten Start von Claude Desktop neu erstellt wird.
An dieser Stelle sei darauf hingewiesen, dass es in seinem Artikel um Claude Desktop geht, die auf Electron basierende macOS-Anwendung mit der Bundle-Kennung com.anthropic.claudefordesktop, das als „Claude.app“ vertrieben wird. Es geht hier nicht um „Claude Code“, das Kommandozeilen-Entwicklertool von Anthropic. „Claude Code“ ist autonom („agentic“), sodass man ihm eine Aufgabe übertragen kann und es die Planung und Ausführung bis zum Abschluss übernimmt. Für „Claude Code“ wäre es also durchaus sinnvoll, die Kommunikation mit Browsern zu ermöglichen, sofern diese auf dem Zielsystem vorhanden sind.
Wir haben also eine Anwendung, die in die Profil- und Support-Verzeichnisse anderer Apps (den Konfigurationsbereich der Browser) schreibt und sich als der Benutzer ausgeben kann, wobei sie Funktionen wie die Nutzung der angemeldeten Browsersitzung, DOM-Inspektion, Datenextraktion, das Ausfüllen von Formularen und die Aufzeichnung von Sitzungen nutzt. Dies vergrößert die Angriffsfläche jedes Computers, auf dem dieses Manifest abgelegt wird, ohne dass eine Zustimmung eingeholt wird.
In Anthropics eigenem Blogbeitrag zur Einführung von „Claude for Chrome“, in dem die internen Red-Team-Experimente von Anthropic behandelt werden, wird die Prompt-Injection ausdrücklich als zentrales Risiko genannt und es werden Angriffserfolgsraten von 23,6 % (ohne Schutzmaßnahmen) und 11,2 % (mit Schutzmaßnahmen) angegeben. Hanff führt dies als Argument dafür an, dass eine vorab platzierte Brücke ein nicht zu unterschätzendes Risiko darstellt.
Wie schlimm ist es?
Native Messaging ist ein Standardmechanismus von Chromium. Dabei handelt es sich an sich um keine unbekannte oder exotische Technik. In der Dokumentation Chromewird erläutert, dass Native-Messaging-Hosts mit Benutzerrechten ausgeführt und von Browser-Erweiterungen über eine Manifestdatei aufgerufen werden. Und wie der Forscher hervorhob, hat die Brücke keinerlei Funktion. Sie könnte jedoch potenziell missbraucht werden.
Ich halte es nicht für fair zu behaupten, dass Claude Desktop Spyware installiert, aber es macht das System anfälliger, indem es die Angriffsfläche vergrößert.
Anthropic verfügte bereits über ein separates, dokumentiertes Native-Messaging-Manifest für Claude Code, das Nutzer manchmal manuell in andere Chromium-Browser kopierten; neu ist, dass Claude Desktop nun automatisch ein Manifest für Claude Desktop in mehrere Browser-Verzeichnisse ablegt.
Dazu ist eine Kombination aus Erweiterung und Host erforderlich. Nur in Verbindung mit einer passenden Browser-Erweiterung ermöglicht diese Brücke die zuvor aufgeführten benutzerfreundlichen Funktionen.
Was wir noch nicht wissen
Anthropic hat keine detaillierten technischen Datenschutzspezifikationen für die Claude-Desktop-Browser-Brücke veröffentlicht, sodass wir nicht genau wissen, welche Daten bei der Nutzung der Chrome übertragen werden, abgesehen von den in der Dokumentation beschriebenen allgemeinen Funktionen (Zugriff auf die Sitzung, Auslesen des DOM usw.).
Die detaillierte Analyse und die meisten bisherigen Reproduktionsversuche wurden unter macOS durchgeführt. Über das Verhalten unter Windows Linux wissen wir nichts, und dasselbe gilt für verschiedene Browser-Installationspfade. Dieses Verhalten wurde zudem in öffentlichen Veröffentlichungen nicht umfassend dokumentiert.
Ich habe mich an Anthropic gewandt und um eine Stellungnahme gebeten. Sobald wir eine offizielle Antwort von Anthropic erhalten, werde ich sie hier veröffentlichen – bleiben Sie also auf dem Laufenden.
Fazit
Anthropic wollte wahrscheinlich Funktionen Chrome„Claude in Chrome“ für alle Chromium-basierten Browser, doch das rechtfertigt nicht, dies ohne Vorwarnung zu tun und das Manifest in den Profilverzeichnissen mehrerer Browser vorzuinstallieren – darunter auch solche, die noch gar nicht installiert sind.
Es gibt bessere Möglichkeiten, solche Änderungen umzusetzen, und die Nutzer sollten zumindest darüber informiert werden, damit sie die Vorteile gegen die potenziellen Risiken abwägen können.
Beugen Sie Bedrohungen vor, bevor sie Schaden anrichten können.
Malwarebytes Browser Guard Phishing-Seiten und bösartige Websites automatisch. Kostenlos und mit nur einem Klick zu installieren. Zu Ihrem Browser hinzufügen →
