Die jüngsten Tests von Anthropics autonomer Chrome-Erweiterung haben deutliche Sicherheitslücken offenbart. In 123 Testfällen über 29 simulierte Angriffsszenarien hinweg zeigte sich, dass bösartige Aktionen in 23,6 Prozent der Fälle erfolgreich waren, sofern der Browser-Agent ohne integrierte Schutzmechanismen ausgeführt wurde.
In einem der Tests nutzten Angreifer eine gefälschte E-Mail, die Claude dazu aufforderte, sämtliche Nachrichten eines Nutzers zu löschen – angeblich zur Verbesserung der „Postfachhygiene“. Ohne Sicherheitsbarrieren kam Claude der Anweisung nach und löschte die E-Mails, ohne eine Bestätigung einzuholen.
Um diese Risiken einzudämmen, hat Anthropic nach eigenen Angaben mehrere Schutzebenen eingeführt. Nutzer können nun detailliert festlegen, auf welche Websites Claude zugreifen darf. Zudem erfordert die Erweiterung künftig eine ausdrückliche Bestätigung des Nutzers, bevor risikoreiche Aktionen wie Käufe, Veröffentlichungen oder das Teilen sensitiver Informationen ausgeführt werden. Darüber hinaus ist Claude automatisch von Finanzseiten, Websites mit Erwachsenen-Inhalten sowie Domain-Bereichen im Zusammenhang mit Piraterie ausgeschlossen.
Diese Maßnahmen verbesserten die Sicherheit deutlich: Die Erfolgsquote autonomer Angriffe sank von 23,6 Prozent auf 11,2 Prozent. In einem gesonderten Test mit vier browserspezifischen Angriffsklassen reduzierten die neuen Sicherheitsmechanismen die Erfolgsrate von 35,7 Prozent auf null.
Dennoch warnte der unabhängige KI-Forscher Simon Willison—bekannt für die Einführung des Begriffs „Prompt Injection“ im Jahr 2022—dass eine Erfolgsquote von 11,2 Prozent weiterhin extrem gefährlich sei. In seinem Blog schrieb er: „Ohne einen wirklich hundertprozentigen Schutz kann ich mir kaum vorstellen, dass es eine gute Idee ist, dieses Muster in die Welt zu entlassen.“
Willison argumentiert zudem, dass das grundlegende Design von „agentischen“ Browser-Erweiterungen möglicherweise grundsätzlich fehlerhaft ist. In einem weiteren Beitrag über ähnliche Schwachstellen in Perplexity Comet äußerte er Zweifel, dass solche Systeme jemals vollständig sicher betrieben werden können.
Aktuelle Vorfälle untermauern diese Einschätzung. Das Sicherheitsteam von Brave offenbarte, dass sich der Comet-Browseragent von Perplexity dazu manipulieren ließ, auf Gmail-Konten zuzugreifen und Passwort-Wiederherstellungsprozesse auszulösen. Angreifer versteckten unsichtbare Anweisungen in Reddit-Beiträgen, die der Agent automatisch ausführte, sobald ein Nutzer um eine Zusammenfassung bat. Obwohl Perplexity einen Patch bereitstellte, bestätigte Brave später, dass die Schutzmaßnahme umgangen worden war und die Sicherheitslücke weiterhin bestand.
Derzeit behandelt Anthropic seine Chrome-Erweiterung als Forschungsvorschau, um reale Angriffsmuster zu analysieren und entsprechende Gegenmaßnahmen zu entwickeln, bevor das Tool breiter ausgerollt wird. Doch angesichts des aktuellen Sicherheitsniveaus agentischer KI-Browserwerkzeuge warnen Experten, dass Endnutzer erheblichen Risiken ausgesetzt sind. Wie Willison festhielt: „Es ist nicht realistisch zu erwarten, dass Endnutzer die sicherheitstechnischen Risiken richtig einschätzen können.“