Ein Sicherheitsforscher hat Claude dazu gebracht, gespeicherte Nutzerdaten Zeichen für Zeichen an einen fremden Server zu senden. Die Lücke betraf claude.ai und zeigt, wie riskant KI-Assistenten mit Gedächtnis und Web-Zugriff geworden sind. Anthropic hat nachgebessert, das Grundproblem aber bleibt.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenEine harmlos wirkende Kaffeehaus-Webseite hat für eine Prompt Injection genügt, die Claudes Gedächtnis ausliest. Der Sicherheitsforscher Ayush Paul hat gezeigt, wie sich Name, Arbeitgeber und Heimatstadt eines Nutzers abgreifen lassen, ohne dass dieser etwas davon bemerkt.[1]
Das Wichtigste in Kürze
- Der Angriff verbindet Claudes Gedächtnisfunktion mit dem automatischen Web-Abruf und schleust die Daten über manipulierte Webadressen aus.
- Betroffen war claude.ai, nicht Claude Code. Anthropic hat das Nachverfolgen von Links auf externen Seiten abgeschaltet.
- Die Schwachstelle folgt demselben Muster wie EchoLeak in Microsoft 365 Copilot: private Daten, fremde Inhalte und ein Abflusskanal treffen aufeinander.
- Für Firmen mit DSGVO-Pflichten ist ein solcher Datenabfluss ein meldepflichtiger Vorfall.
Wie kam die Kaffeehaus-Webseite an Claudes Gedächtnis?

Claude legt zu jedem Nutzer ein Profil an, das Gespräche zu kurzen Merksätzen verdichtet und über eine Suchfunktion die gesamte Verlaufshistorie erschließt. Genau dieses Gedächtnis ist zum Ziel geworden.
Paul hat eine Webseite gebaut, die sich nur gegenüber Claude als gefälschte Cloudflare-Prüfung ausgibt und den Assistenten auffordert, sich mit dem Namen seines Nutzers zu authentifizieren. Einem normalen Browser hat dieselbe Adresse nur ein unverdächtiges Café gezeigt, denn die Seite erkennt Claude an der Kennung, mit der er sich beim Abruf meldet.
Der eigentliche Kniff steckt im Abflusskanal. Über ein Verzeichnis aus lauter Einzelbuchstaben-Seiten hat sich Claude Zeichen für Zeichen weitergehangelt, und die Server-Logs haben aus den aufgerufenen Adressen den Namen wieder zusammengesetzt. Ein sichtbarer Link, der Verdacht erregt hätte, war dafür nie nötig.
Die Ursache ist kein einzelner Fehler, sondern eine fehlende Vertrauensgrenze. Der Assistent besaß gleichzeitig Zugriff auf private Erinnerungen und die Freiheit, fremde Webinhalte abzurufen und deren Anweisungen zu befolgen. Ein KI-Assistent unterscheidet dabei nicht zuverlässig zwischen der Bitte des Nutzers und dem eingeschleusten Befehl einer fremden Seite.
Warum ist der Gedächtnis-Raub kein Einzelfall?
Dasselbe Grundmuster hat vor gut einem Jahr Microsoft 365 Copilot getroffen. Unter dem Namen EchoLeak hat eine einzige präparierte E-Mail interne Dateien nach außen geschleust, ganz ohne Zutun des Nutzers.[2]
Sicherheitsforscher beschreiben dabei eine gefährliche Kombination aus drei Zutaten: Zugriff auf private Daten, das Verarbeiten fremder Inhalte und ein Weg nach draußen. Sobald ein Assistent alle drei besitzt, wird aus Prompt Injection ein handfester Datenabfluss statt eines Textspielchens.
Die Häufung ist unübersehbar. Vor wenigen Tagen hat xAIs Grok Build ganze Code-Verzeichnisse ungefragt hochgeladen, und Kanadas Bankenaufsicht hat vor einer Lücke in Anthropics Sicherheitswerkzeug Claude Mythos gewarnt. Auch die Infrastruktur für KI-Agenten selbst gilt als angreifbar, wie ein Test von MCP-Servern gezeigt hat.
Ein KI-Assistent mit Gedächtnis ist bequem, doch jede gespeicherte Erinnerung wird zur Beute, sobald das Werkzeug fremde Webinhalte lesen darf. Sicherheit entsteht hier nicht durch besseres Training, sondern durch harte Grenzen zwischen privaten Daten und offenem Netz.
— Markus Seyfferth, Chefredakteur Dr. Web
Was bedeutet der Fall für Unternehmen im DACH-Raum?
Claudes Gedächtnis enthält personenbezogene Daten, vom Klarnamen bis zur Heimatstadt, die vielerorts als Antwort auf Sicherheitsfragen dient. Fließen sie ab, ist das nach DSGVO ein meldepflichtiger Vorfall, den Verantwortliche binnen 72 Stunden der Aufsichtsbehörde anzeigen müssen.
Die Haftung bleibt beim einsetzenden Unternehmen, nicht beim Modellanbieter. Firmen, die Assistenten mit Connectoren und Gedächtnis in ihre Abläufe einbinden, tragen das Risiko selbst, auch wenn der Fehler in der Plattform steckt.
Der wirksamste Schutz bleibt Zurückhaltung. Die Gedächtnisfunktion lässt sich in sensiblen Kontexten abschalten, und der automatische Web-Abruf gehört so eng begrenzt, dass ein Assistent nicht jeder Adresse folgt, die ihm eine fremde Seite unterschiebt. Vor jeder Anbindung interner Systeme über Connectoren sollte zudem klar sein, welche Daten im Ernstfall preisgegeben werden könnten. Anthropic hat mit dem Abschalten der Link-Verfolgung reagiert, die Grenze zwischen privaten Daten und offenem Netz zieht am Ende aber der Betreiber.
Quellen
[1] Ayush Paul: „The Memory Heist“ ↩
[2] Fu et al.: „EchoLeak: The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System“ ↩
für Buchstabe
EchoLeak (CVE-2025-32711)
Eine präparierte E-Mail brachte Microsoft 365 Copilot dazu, interne Dateien ohne Zutun des Nutzers nach außen zu schleusen.
Der Gedächtnis-Raub
Eine gefälschte Cloudflare-Prüfung brachte claude.ai dazu, gespeicherte Nutzerdaten Zeichen für Zeichen preiszugeben.
Mehr Newshunger?
- Cursor-Zero-Day: Wenn nur noch die volle Offenlegung schützt
- Codex verschlüsselt jetzt die Prompts seiner Sub-Agenten
- Clawk gibt dem KI-Coding-Agenten eine eigene Wegwerf-VM statt Ihres Rechners
- Datenleck bei Lidl: Warum der Dienstleister das eigentliche Einfallstor war
- Jeder vierzehnte MCP-Server fällt durch: Wie unsicher die Infrastruktur für KI-Agenten wirklich ist