Une personne bien connue des Schwachstelle im KI-Assistenten Claude von Anthropic könnte von Angreifern ausgenutzt werden, um heimlich Unternehmensdaten zu exfiltrieren. Dabei lassen sich auch Sicherheitsconfigurationen umgehen, die solche Attacken eigentlich verhindern sollen.

Comme l’indiquent les techniques d’injection d’invite et l’interprète de code de Claude, ils ont récemment démontré le chercheur en sécurité Johann Rehberger dans un blogue ausführlichen. Im Ergebnis war es dem Experten so möglich, auf sensible Informationen zuzugreifen, beispielsweise Chat-Verläufe et hochgeladene Dokumente. Besonders fies: Bei der Attacke wird Claudes eigene API-Infrastruktur ausgenutzt, um gestohlene Daten direct an Konten weiterzuleiten, die under der Controlle der Angreifer stehen.

Die Wurzel des Übels liegt dabei offenbar in den Netzwerkzugriffskontrollen von Anthropic Claude: Die Standardeinstellung "Package managers only" Description détaillée des liens vers des domaines spécifiques comme NPM ou PyPI. Allerdings gehört dazu auch api.anthropic.com – der Endpunkt, den Angreifer ausnutzen könnten, um Daten zu stehlen.

Donc fonctionnel de Claude-Exploit

La musique orchestrale de Rehberger est donnée par Prompt Injection. Dabei werden schadhafte Anweisungen in Documentation, Webseiten et anderem Content versteckt, der von Claude auf Nutzeranweisung wird. Un seul moyen de déclencher le processus en cours dans Gang :

• Claude ruft sensible Daten ab – beispielsweise the aktuellen Konversationsverlauf – et schreibt diesen in eine Datei in der Code-Interpreter-Sandbox.
• Le bösartige Payload est désormais sélectionné, le code Python de Claude étant créé, les données dans l’API de fichiers d’Anthropic sont définies – avec une particularité évidente : le téléchargement n’a pas fonctionné avec le schéma d’API des options, mais il ne correspond pas aux options.

La documentation API d’Anthropic contient cette technologie, jusqu’à 30 Mo pour les données à extraire – les instructions des données, qui sont disponibles ici, ne sont pas disponibles.

Wie Rehberger in seinem Bericht feststellt, bei es aufgrund der von Anthropic integrierten Sicherheitsnahmen durchaus aine Herausforderung gewesen, a zuverlässigen Exploit zu entwickeln. « J’ai des astuces comme XOR et Base64-Kodierung ausprobiert. Je n’ai pas encore de fonctionnalités. Puis j’ai un peu plus de fonds pour les contrôleurs de l’ensemble. J’ai le Schadcode facilement dans une couleur harmonieuse de codes versteckt – etwa print (hello world)« , a déclaré le spécialiste de la sécurité. Il a été dirigé par Claude Davon, qui a tout mis en œuvre avec raison.

Rehberger a rejoint la Claude-Schwachstelle fin octobre 2025 sur la plateforme Bug-Bounty HackerOne et Anthropic. Les employeurs ont trouvé des allers-retours erronés et sont « hors de portée » et ils voient là un problème de modèle – une chance de sécurité. Entsprechend besteht cese auch weiterhin. L’Einschätzung des KI-Unternehmenswidespricht Rehberger ausdrücklich : « Il s’agit d’une chance de sécurité dans la configuration standard de sortie réseau, qui peut être utilisée par les données privées. »

Veilleurs et risques réels

Wie Rehbergers Blogbeitrag zu entnehmen ist, lasst sich identifizierte Schwachstelle in Anthropic Claude über more Einstiegspunkte ausnutzen: « La cybercriminalité utilise des charges utiles d’injection d’invite dans les documents ou dans les pages Web, les noix de Claude zusammenfassen laissez-le – ou encore dans Daten, auf die über MCP-Server– et Google-Drive-Integrationen zugegriffen wird.

Un risque inquiétant est dû aux observateurs, celui de Claude anthropique dans un exemple :

• vertrauliche Dokumente analysieren,
• Kundendaten verarbeiten, ou
• auf interne Wissensdatenbanken zugreifen.

Si l’exfiltration de données est effectuée via des appels API légitimes, l’arrière-plan de ces appels n’a pas d’importance minimale. Les méthodes de minimisation des risques pour les employés ne sont pas les meilleures :

• Vous pouvez également désactiver la désactivation du réseau ou créer des listes blanches manuelles pour une configuration optimale des domaines. Das schränkt jedoch die Funktionalität von Claude erheblich ein.
• Anthropic selbst erkennt Prompt-Injection-Risiken im Rahmen seiner Sicherheitsdokumentation and empfiehlt, die Aktionen von Claude zu überwachen et cese im Falle von verdächtigem Verhalten manuell zu stoppen – un analyste, den Rehberger als « Living Dangerously » bezeichnet.

Unternehmen könnten fälschlicherweise annehmen, dass die Standardconfiguration "Package managers only" un ausreichendes Schutzniveau bietet. Wie Rehbergers Untersuchungen zeigen, ist das nicht der Fall. Le professionnel de la sécurité n’a pas trouvé de code d’exploitation complet, un interprète de Claude s’en est occupé. Nous vous proposons d’en savoir plus sur Anthropic dans la configuration des domaines zugelassenen qui permet de réaliser de nombreuses tentatives d’exploitation. (fm)

Avez-vous d’autres études intéressantes sur le thème de la sécurité informatique ? Notre newsletter gratuite liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.