Claude DXT

Claude Desktop Extension führt zu einer Zero-Click-Schwachstelle für Remotecode-Ausführung, die auf indirekter Prompt-Injektion basiert, da die Architektur ohne Sandbox auskommt und dem KI-Agenten volle Systemrechte gewährt werden. Die Schwachstelle nutzt einen Designfehler im MCP-Protokoll aus, dem es an Vertrauensgrenzen mangelt, so dass ein Angreifer beliebigen Code ausführen kann, indem er externe Datenquellen kontaminiert. Trotz der höchsten Risikoeinstufung weigerte sich der Anbieter, die Schwachstelle mit der Begründung zu beheben, dass sie "außerhalb des Bedrohungsmodells" liege, was eine breite Kontroverse über die Verteilung der Sicherheitsverantwortung im Zeitalter der KI auslöste. Dieser Fall verdeutlicht die grundlegenden Sicherheitsrisiken von KI-Agentensystemen in Bezug auf die Kontrolle von Berechtigungen und die Validierung von Eingaben.
Die wichtigsten Punkte sind:
1. eine Architektur ohne Sandbox mit hohen Privilegien: Claude DXT wird als lokaler MCP-Server ausgeführt, der von der Sandbox des Browsers losgelöst ist und alle Systemprivilegien des Benutzers erbt, wodurch eine Angriffsfläche mit hohem Risiko entsteht.
2. indirekte Eingabeaufforderungsinjektion mit Null-Klick: Der Angreifer bettete bösartige Befehle in legitime Datenquellen wie den Google-Kalender ein und veranlasste den KI-Agenten, sie selbständig zu beschaffen und fälschlicherweise auszuführen, ohne dass eine Benutzerinteraktion erforderlich war.
3) Versagen der Vertrauensgrenze des MCP-Protokolls: Das Model Context Protocol erlaubt es, dass die Ausgabe von Operationen mit geringem Risiko direkt Systemaufrufe mit hohem Risiko auslöst, was zu einer "verschleierten Agenten"-Schwachstelle führt, die KI zu einem Sprungbrett für Angriffe macht.