Claude.ai in Chrome: KI-Extension mit Hacker-Risiken – und wer wirklich hinter Anthropic steht

Der KI-Assistent Claude ist jetzt direkt im Browser Google Chrome verfügbar. Mit der Funktion „Claude in Chrome“ bringt der Entwickler Anthropic seinen KI-Chatbot erstmals als Browser-Agent ins Web. Die Erweiterung befindet sich derzeit noch in einer Beta-Phase und steht Nutzern der kostenpflichtigen Tarife Pro, Max, Team und Enterprise zur Verfügung.

Die Idee hinter der Erweiterung ist radikal: Claude kann nicht nur Antworten schreiben, sondern direkt mit Webseiten arbeiten. Der Assistent kann Inhalte analysieren, Formulare ausfüllen, Buttons anklicken oder Informationen aus Webseiten extrahieren. Genau diese Fähigkeiten machen das Tool interessant – gleichzeitig warnen die Entwickler selbst vor konkreten Sicherheitsrisiken, die auch Hacker ausnutzen könnten.

Unsichtbare Hackerbefehle: Prompt-Injection als neue Angriffsmethode

Das größte Sicherheitsproblem bei KI-Browseragenten sind sogenannte Prompt-Injection-Angriffe. Dabei verstecken Angreifer unsichtbare Anweisungen in Webseiten, E-Mails oder Dokumenten, die von Menschen nicht bemerkt werden, von der KI jedoch interpretiert werden.

Eine scheinbar harmlose Webseite könnte beispielsweise versteckten Text enthalten, der Claude dazu auffordert, sensible Daten auszulesen oder weiterzugeben. Für den Nutzer wirkt die Seite völlig normal, während die KI im Hintergrund fremde Befehle interpretiert.

In internen Tests wurden Szenarien identifiziert, in denen die KI theoretisch dazu gebracht werden könnte, vertrauliche Informationen zu extrahieren, Dateien zu löschen oder unerwünschte Aktionen auf Webseiten auszuführen.

Grafik: ChatGPT – wir bitten mögliche Fehler zu entschuldigen. Die Infografik zeigt, welche möglichen Angreifer die Browser-KI Claude theoretisch ausnutzen könnten – etwa Hacker, Datenspione oder manipulierte Webseiten. Erwähnt werden dabei typische Cyberangriffe wie Prompt-Injection (versteckte Befehle in Webseiten, die eine KI ausführen soll), Session-Hijacking (Übernahme einer aktiven Login-Sitzung) oder Screenshot-Analyse (Auswertung des sichtbaren Bildschirminhalts). Sollten in der Grafik Rechtschreibfehler oder ungewöhnliche Wörter auftauchen, liegt das an der sogenannten Text-in-Image-Generierung (Text wird als Bildbestandteil erzeugt, nicht als Schrift) und an multimodaler KI (gleichzeitige Verarbeitung von Bild und Sprache). Dabei müssen Layout, Symbole und Text gleichzeitig berechnet werden – über viele Sprachen hinweg. Wir bitten daher um etwas Nachsicht mit der noch jungen Technologie.

Zugriff auf Browserdaten: KI arbeitet in eingeloggten Sitzungen

Damit Claude Webseiten bedienen kann, darf die Erweiterung JavaScript direkt auf Webseiten ausführen. Dadurch kann der Assistent auf dieselben Informationen zugreifen, die auch der Browser selbst sieht.

Dazu gehören unter anderem aktive Login-Sitzungen, Webseiteninhalte und andere Daten, die für angemeldete Nutzer sichtbar sind.

Sollte eine Webseite manipuliert werden, könnte die KI theoretisch innerhalb solcher Sitzungen Aktionen durchführen oder Informationen aus eingeloggten Konten auslesen. Dazu könnten beispielsweise persönliche Daten, interne Inhalte oder gespeicherte Informationen gehören.

Screenshots des Browser-Tabs: Claude kann alles sehen

Ein weiterer Punkt betrifft die Funktionsweise der Erweiterung. Wenn die Claude-Seitenleiste geöffnet wird, erstellt das System Screenshots des aktuell geöffneten Browser-Tabs, um den Inhalt der Seite zu analysieren.

Damit kann die KI potenziell alle sichtbaren Informationen auf dem Bildschirm erfassen, darunter Dokumente, Nachrichten, persönliche Daten oder vertrauliche Inhalte.

Gerade bei Seiten mit sensiblen Informationen kann das problematisch sein, wenn die Erweiterung aktiv ist.

Schutzmaßnahmen gegen Missbrauch

Der Entwickler Anthropic hat mehrere Sicherheitsmaßnahmen integriert. Dazu gehören spezielle KI-Trainingsmethoden, die manipulierte Befehle erkennen sollen, sowie Inhaltsfilter, die verdächtige Anweisungen blockieren können.

Zusätzlich muss der Nutzer für jede Webseite einzeln bestätigen, ob Claude dort aktiv werden darf. Außerdem blockiert die Erweiterung automatisch bestimmte Webseitenkategorien, darunter Banking-Seiten, Trading-Plattformen, Kryptobörsen, Erwachsenen-Websites und bekannte Piraterie-Portale.

Trotz dieser Schutzmechanismen betont Anthropic selbst, dass das Risiko von Angriffen nicht vollständig ausgeschlossen werden kann.

Grafik: Claude.ai

Wer hinter Anthropic steht

Das Unternehmen Anthropic wurde 2021 von ehemaligen OpenAI-Forschern gegründet. Zu den Gründern gehört unter anderem Dario Amodei, der zuvor als leitender KI-Forscher bei OpenAI tätig war.

Anthropic zählt heute zu den wichtigsten KI-Start-ups der Welt. Das Unternehmen hat Milliardeninvestitionen von großen Tech-Konzernen erhalten, darunter Amazon und Google.

Allein Amazon investierte zuletzt bis zu 4 Milliarden US-Dollar in das Unternehmen. Damit gehört Anthropic zu den zentralen Akteuren im globalen Rennen um leistungsfähige KI-Modelle.

Claude in Chrome sicher verwenden - vermeiden Sie unbedingt:

Claude.ai-Erweiterung in Browsern wie Chrome sollte nicht für sensible Aufgaben eingesetzt werden, etwa:

+++ Keine Finanzkonten darüber abrufen, keine juristischen Dokumente, keine medizinischen Informationen, keine Unternehmensdaten, keine Arbeitskonten, keine persönlichen Daten oder Daten anderer Personen - nutzen Sie dazu einen anderen Browser ohne KI-Erweiterung! +++

Claude in Chrome ist derzeit als Beta-Version im Browser Google Chrome verfügbar und kann von Nutzern der kostenpflichtigen Tarife Pro, Max, Team und Enterprise verwendet werden. Die Erweiterung ermöglicht es der KI Claude, direkt im Namen des Nutzers mit Webseiten zu interagieren. Genau darin liegt auch der große Vorteil – und gleichzeitig ein nicht zu unterschätzendes Risiko. Wer die möglichen Gefahren kennt, kann die Erweiterung deutlich sicherer einsetzen.

Das größte Risiko: Prompt-Injection-Angriffe

Die größte Sicherheitsbedrohung für KI-Tools im Browser sind sogenannte Prompt-Injection-Angriffe. Dabei verstecken Angreifer schädliche Anweisungen in Webseiten, E-Mails oder Dokumenten, die von Menschen oft nicht sichtbar sind, von der KI jedoch interpretiert werden können. Eine scheinbar harmlose Nachricht oder eine einfache Aufgabenliste könnte beispielsweise unsichtbaren Text enthalten, der Claude dazu auffordert, sensible Informationen abzurufen oder weiterzugeben.

In internen Tests wurden Szenarien identifiziert, in denen eine manipulierte Webseite Claude theoretisch dazu bringen könnte, vertrauliche Daten zu extrahieren, wichtige Dateien zu löschen oder unerwartete Aktionen auf Webseiten auszuführen.

JavaScript-Zugriff auf Webseiten

Die Erweiterung ermöglicht es Claude, JavaScript-Code direkt auf besuchten Webseiten auszuführen. Dadurch kann die KI Buttons anklicken, Formulare ausfüllen und Inhalte einer Seite lesen. Gleichzeitig bedeutet das jedoch auch, dass Claude auf dieselben Daten zugreifen kann wie der Browser selbst.

Dazu gehören unter anderem aktive Login-Sitzungen, gespeicherte Webseiteninformationen sowie andere Daten, die Webseiten nutzen, um Nutzer eingeloggt zu halten. Sollte Claude durch eine manipulierte Seite beeinflusst werden, könnte diese Funktion theoretisch genutzt werden, um Zugangsdaten auszulesen oder Aktionen innerhalb eines bereits eingeloggten Kontos auszuführen. Zwar werden bestimmte sensible Daten wie Authentifizierungs-Tokens oder API-Schlüssel durch Filter blockiert, diese Filter gelten jedoch nicht als vollständige Sicherheitsbarriere.

Ein wichtiger Schutzmechanismus ist daher das Berechtigungssystem pro Domain. Claude darf JavaScript auf einer Webseite erst ausführen, wenn der Nutzer dies ausdrücklich erlaubt. Für jede Domain ist eine eigene Freigabe erforderlich.

Weitere mögliche Risiken

Bei der Nutzung von Claude im Browser können auch unbeabsichtigte Aktionen auftreten. Die KI könnte Anweisungen falsch interpretieren oder Fehler machen, was unter Umständen zu dauerhaften Änderungen an Daten oder Konten führen kann. Hinzu kommt, dass KI-Systeme probabilistisch arbeiten. Das bedeutet, dass dieselbe Anfrage unterschiedliche Ergebnisse liefern kann, wodurch sich Fehler wiederholen können.

Auch finanzielle Risiken sind möglich. Trotz Sicherheitsmaßnahmen könnte es theoretisch zu unerwarteten Käufen, falschen Transaktionen oder zur Preisgabe finanzieller Informationen kommen. Zusätzlich bestehen Datenschutzrisiken, da Claude unbeabsichtigt persönliche Informationen aus verschiedenen Webseiten abrufen oder weitergeben könnte.

Sicherheitsmaßnahmen von Anthropic

Der Entwickler Anthropic hat mehrere Schutzmechanismen integriert, um diese Risiken zu reduzieren. Dazu gehört ein spezielles Modelltraining mit Reinforcement Learning, das Claude helfen soll, schädliche Anweisungen zu erkennen und abzulehnen. Außerdem werden Inhalte, die in den Kontext der KI gelangen, durch automatische Inhaltsklassifizierungen auf mögliche Manipulationen überprüft.

Ein weiteres Schutzsystem sind granulare Berechtigungen, die es Nutzern erlauben, genau festzulegen, auf welche Webseiten Claude zugreifen darf. Zusätzlich existieren Blocklisten für besonders sensible Webseiten, sowie Bestätigungen für riskante Aktionen, etwa bei Onlinekäufen. Sicherheitsforscher testen die Systeme außerdem kontinuierlich in sogenannten Red-Team-Analysen, um neue Schwachstellen zu entdecken.

Interne Tests zeigen laut Anthropic, dass das Modell Claude Opus 4.5 deutlich robuster gegenüber Prompt-Injection-Angriffen ist als frühere Versionen. In kombinierten Angriffsszenarien konnte die Erfolgsrate solcher Angriffe auf etwa 1 Prozent reduziert werden. Dennoch betont das Unternehmen ausdrücklich, dass das Risiko eines Angriffs nie vollständig ausgeschlossen werden kann.

Automatisch blockierte Webseiten

Um Missbrauch zu verhindern, kann Claude bestimmte besonders sensible Webseiten grundsätzlich nicht verwenden. Dazu gehören vor allem Banking- und Finanzseiten, Investment- und Trading-Plattformen, Kryptowährungsbörsen, Webseiten mit Erwachsenen-Inhalten sowie bekannte Piraterie-Websites.

Schutz vor Angriffen

Nutzer sollten möglichst mit vertrauenswürdigen Webseiten beginnen und unbekannte Seiten vermeiden, insbesondere wenn diese Inhalte von unbekannten Nutzern enthalten. Außerdem ist es wichtig, Berechtigungen bewusst zu vergeben und sensible Aktionen immer aktiv zu bestätigen.

Wenn Claude plötzlich unerwartete Webseiten öffnet, nach sensiblen Informationen fragt oder über Themen spricht, die nichts mit der ursprünglichen Aufgabe zu tun haben, sollte der Vorgang sofort abgebrochen werden. Solches Verhalten kann ein Hinweis auf einen Prompt-Injection-Angriff sein.

Schutz persönlicher Daten

Wenn das Claude-Seitenpanel geöffnet wird, erstellt die Erweiterung Screenshots des aktuell aktiven Browser-Tabs, um den Inhalt der Seite zu analysieren. Dadurch kann Claude grundsätzlich alle Informationen sehen, die auf dem Bildschirm sichtbar sind. Dazu gehören unter Umständen persönliche Daten, vertrauliche Dokumente oder private Informationen.

Deshalb sollte die Erweiterung möglichst nicht verwendet werden, wenn gerade sensible Inhalte auf dem Bildschirm sichtbar sind.

Was Claude grundsätzlich nicht darf

Claude darf bestimmte Aktionen grundsätzlich nicht durchführen. Dazu gehört etwa der Handel mit Aktien oder Investments, das Umgehen von Captchas, das Eingeben sensibler Daten sowie das Sammeln oder Auslesen von Gesichtern aus Bildern.

Empfehlungen für eine sichere Nutzung

Anthropic empfiehlt, Claude möglichst in einem separaten Browserprofil ohne Zugriff auf sensible Konten zu verwenden. Besonders wichtig ist es, vorgeschlagene Aktionen der KI immer zu prüfen, bevor sie ausgeführt werden. Außerdem sollte man zunächst mit einfachen Aufgaben wie Recherche oder Formularhilfe beginnen, bevor komplexe Arbeitsabläufe automatisiert werden.

Was vermieden werden sollte

Die Erweiterung sollte nicht genutzt werden, um Finanzkonten zu verwalten, juristische Dokumente zu bearbeiten, medizinische Informationen zu verarbeiten, Arbeitskonten mit sensiblen Unternehmensdaten zu öffnen oder Webseiten zu nutzen, auf denen persönliche Daten anderer Personen gespeichert sind.

Verantwortung der Nutzer

Alle Aktionen, die Claude im Browser ausführt, erfolgen letztlich im Namen des Nutzers. Nutzer bleiben daher verantwortlich für veröffentlichte Inhalte, versendete Nachrichten, Käufe, finanzielle Transaktionen sowie Zugriffe auf Daten oder deren Veränderungen. Auch die Nutzungsbedingungen der jeweiligen Webseiten müssen weiterhin eingehalten werden.

Zusätzliche Sicherheitsfunktionen für Unternehmen

Nutzer der Tarife Team und Enterprise können zusätzliche Sicherheitskontrollen einsetzen. Administratoren können beispielsweise Allowlists und Blocklists festlegen, um genau zu bestimmen, auf welche Webseiten Claude zugreifen darf. Zudem kann die Erweiterung organisationsweit aktiviert oder deaktiviert werden.

Diese zusätzlichen Einstellungen bieten eine weitere Sicherheitsebene über die bereits integrierten Schutzmechanismen hinaus.

Weiterlesen

Claude in Chrome: Warum diese KI-Extension eine der genialsten Browser-Innovationen seit Jahren sein könnte