Ein Sicherheitsforscher hat Claude dazu gebracht, gespeicherte Nutzerdaten Zeichen für Zeichen an einen fremden Server zu senden. Die Lücke betraf claude.ai und zeigt, wie riskant KI-Assistenten mit Gedächtnis und Web-Zugriff geworden sind. Anthropic hat nachgebessert, das Grundproblem aber bleibt.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Eine harmlos wirkende Kaffeehaus-Webseite hat für eine Prompt Injection genügt, die Claudes Gedächtnis ausliest. Der Sicherheitsforscher Ayush Paul hat gezeigt, wie sich Name, Arbeitgeber und Heimatstadt eines Nutzers abgreifen lassen, ohne dass dieser etwas davon bemerkt.[1]

Das Wichtigste in Kürze

  • Der Angriff verbindet Claudes Gedächtnisfunktion mit dem automatischen Web-Abruf und schleust die Daten über manipulierte Webadressen aus.
  • Betroffen war claude.ai, nicht Claude Code. Anthropic hat das Nachverfolgen von Links auf externen Seiten abgeschaltet.
  • Die Schwachstelle folgt demselben Muster wie EchoLeak in Microsoft 365 Copilot: private Daten, fremde Inhalte und ein Abflusskanal treffen aufeinander.
  • Für Firmen mit DSGVO-Pflichten ist ein solcher Datenabfluss ein meldepflichtiger Vorfall.

Wie kam die Kaffeehaus-Webseite an Claudes Gedächtnis?

Ein braunes Lederbuch auf weißem Grund, umgeben von Holzplättchen mit Buchstaben
Claude erstellt Nutzerprofile mit Merksätzen aus Gesprächen und durchsuchbarer Verlaufshistorie. Ein Forscher baute eine gefälschte Cloudflare-Prüfung, um Claude zur Authentifizierung mit dem Nutzernamen zu manipulieren

Claude legt zu jedem Nutzer ein Profil an, das Gespräche zu kurzen Merksätzen verdichtet und über eine Suchfunktion die gesamte Verlaufshistorie erschließt. Genau dieses Gedächtnis ist zum Ziel geworden.

Paul hat eine Webseite gebaut, die sich nur gegenüber Claude als gefälschte Cloudflare-Prüfung ausgibt und den Assistenten auffordert, sich mit dem Namen seines Nutzers zu authentifizieren. Einem normalen Browser hat dieselbe Adresse nur ein unverdächtiges Café gezeigt, denn die Seite erkennt Claude an der Kennung, mit der er sich beim Abruf meldet.

Der eigentliche Kniff steckt im Abflusskanal. Über ein Verzeichnis aus lauter Einzelbuchstaben-Seiten hat sich Claude Zeichen für Zeichen weitergehangelt, und die Server-Logs haben aus den aufgerufenen Adressen den Namen wieder zusammengesetzt. Ein sichtbarer Link, der Verdacht erregt hätte, war dafür nie nötig.

Die Ursache ist kein einzelner Fehler, sondern eine fehlende Vertrauensgrenze. Der Assistent besaß gleichzeitig Zugriff auf private Erinnerungen und die Freiheit, fremde Webinhalte abzurufen und deren Anweisungen zu befolgen. Ein KI-Assistent unterscheidet dabei nicht zuverlässig zwischen der Bitte des Nutzers und dem eingeschleusten Befehl einer fremden Seite.

Warum ist der Gedächtnis-Raub kein Einzelfall?

Dasselbe Grundmuster hat vor gut einem Jahr Microsoft 365 Copilot getroffen. Unter dem Namen EchoLeak hat eine einzige präparierte E-Mail interne Dateien nach außen geschleust, ganz ohne Zutun des Nutzers.[2]

Sicherheitsforscher beschreiben dabei eine gefährliche Kombination aus drei Zutaten: Zugriff auf private Daten, das Verarbeiten fremder Inhalte und ein Weg nach draußen. Sobald ein Assistent alle drei besitzt, wird aus Prompt Injection ein handfester Datenabfluss statt eines Textspielchens.

Die Häufung ist unübersehbar. Vor wenigen Tagen hat xAIs Grok Build ganze Code-Verzeichnisse ungefragt hochgeladen, und Kanadas Bankenaufsicht hat vor einer Lücke in Anthropics Sicherheitswerkzeug Claude Mythos gewarnt. Auch die Infrastruktur für KI-Agenten selbst gilt als angreifbar, wie ein Test von MCP-Servern gezeigt hat.

Ein KI-Assistent mit Gedächtnis ist bequem, doch jede gespeicherte Erinnerung wird zur Beute, sobald das Werkzeug fremde Webinhalte lesen darf. Sicherheit entsteht hier nicht durch besseres Training, sondern durch harte Grenzen zwischen privaten Daten und offenem Netz.

— Markus Seyfferth, Chefredakteur Dr. Web

Was bedeutet der Fall für Unternehmen im DACH-Raum?

Claudes Gedächtnis enthält personenbezogene Daten, vom Klarnamen bis zur Heimatstadt, die vielerorts als Antwort auf Sicherheitsfragen dient. Fließen sie ab, ist das nach DSGVO ein meldepflichtiger Vorfall, den Verantwortliche binnen 72 Stunden der Aufsichtsbehörde anzeigen müssen.

Die Haftung bleibt beim einsetzenden Unternehmen, nicht beim Modellanbieter. Firmen, die Assistenten mit Connectoren und Gedächtnis in ihre Abläufe einbinden, tragen das Risiko selbst, auch wenn der Fehler in der Plattform steckt.

Der wirksamste Schutz bleibt Zurückhaltung. Die Gedächtnisfunktion lässt sich in sensiblen Kontexten abschalten, und der automatische Web-Abruf gehört so eng begrenzt, dass ein Assistent nicht jeder Adresse folgt, die ihm eine fremde Seite unterschiebt. Vor jeder Anbindung interner Systeme über Connectoren sollte zudem klar sein, welche Daten im Ernstfall preisgegeben werden könnten. Anthropic hat mit dem Abschalten der Link-Verfolgung reagiert, die Grenze zwischen privaten Daten und offenem Netz zieht am Ende aber der Betreiber.

Quellen

[1] Ayush Paul: „The Memory Heist“

[2] Fu et al.: „EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System“

Der Gedächtnis-Raub bei Claude
Wie aus einer Prompt Injection ein Datenabfluss wird
claude.ai
Betroffen war der Alltags-Assistent, nicht Claude Code
Buchstabe
für Buchstabe
Namen und Daten flossen über manipulierte Webadressen ab
72 Std.
DSGVO-Meldefrist an die Aufsichtsbehörde bei Datenabfluss
Die drei Zutaten des Angriffs
Private Daten
Claudes Gedächtnis speichert Name, Arbeitgeber und Heimatstadt.
Fremde Inhalte
Der Web-Abruf folgt Anweisungen auf einer präparierten Seite.
Weg nach draußen
Server-Logs setzen aus den aufgerufenen Adressen die Daten zusammen.
Zwei Fälle, ein Muster
Juni 2025

EchoLeak (CVE-2025-32711)

Eine präparierte E-Mail brachte Microsoft 365 Copilot dazu, interne Dateien ohne Zutun des Nutzers nach außen zu schleusen.

Juli 2026

Der Gedächtnis-Raub

Eine gefälschte Cloudflare-Prüfung brachte claude.ai dazu, gespeicherte Nutzerdaten Zeichen für Zeichen preiszugeben.

Mehr Newshunger?

4,3 20 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?