Wenn die sichere KI-Schmiede die Haustür offen lässt

Anthropic positioniert sich seit Jahren als die seriöse, sicherheitsbewusste KI-Schmiede. Ein Fund auf einem MacBook stellt diese Selbstdarstellung gerade massiv in Frage. Was passiert ist, warum es problematisch ist, und warum die Firma damit etwas verspielt, das in der KI-Industrie nicht zu kaufen ist.

Eine ungewöhnliche Datei in einem Browser-Verzeichnis

Am 18. April 2026 veröffentlicht der Datenschutzberater Alexander Hanff einen Blogpost mit einer drastischen Überschrift: „Anthropic secretly installs spyware when you install Claude Desktop". Hanff ist beim Debuggen eines eigenen Native-Messaging-Helpers in seinem Brave-Browser auf eine Datei gestoßen, die er nicht selbst installiert hatte:

~/Library/Application Support/BraveSoftware/Brave-Browser/
  NativeMessagingHosts/com.anthropic.claude_browser_extension.json

Diese Datei ist eine sogenannte Native-Messaging-Manifest-Datei. Sie weist Chromium-basierte Browser an, eine lokale ausführbare Datei aufzurufen, sobald eine Browser-Extension mit einer der dort hinterlegten IDs sie anfordert. Drei Extension-IDs sind in der Datei vorautorisiert. Die aufzurufende Binary liegt in /Applications/Claude.app/Contents/Helpers/chrome-native-host und läuft, wenn aktiviert, mit den vollen Rechten des angemeldeten Benutzers — außerhalb der Browser-Sandbox.

Wenn wir uns einen Moment Zeit nehmen, das sacken zu lassen: Hanff hatte nie eine Claude-Browser-Extension installiert. Er hatte ausschließlich Claude Desktop installiert, die Mac-Anwendung von Anthropic. Diese Anwendung hat ohne Rückfrage in das Konfigurationsverzeichnis eines Browsers eines vollkommen anderen Herstellers geschrieben und dort eine Brücke vorbereitet, die später aktiviert werden kann.

Was Hanffs Audit zutage förderte

Hanff hat das Verhalten auf einer zweiten Maschine reproduziert und dokumentiert. Die Befunde sind unangenehm präzise:

Claude Desktop legt die Manifest-Datei nicht nur in einem, sondern in sieben Browser-Verzeichnissen an — Chrome, Edge, Brave, Arc, Vivaldi, Opera und Chromium. Auf seiner Testmaschine waren nur Brave und Chrome tatsächlich installiert. Für die anderen vier Browser wurden die NativeMessagingHosts-Verzeichnisse von Claude Desktop selbst erstellt. Wer einen dieser Browser irgendwann später installiert, hat die Brücke ab dem ersten Start aktiv.

Die Dateien sind byteweise identisch — eine MD5-Prüfsumme über alle sieben liefert siebenmal denselben Hash. Die Manifeste werden bei jedem Start von Claude Desktop neu geschrieben. Hanff zählt 31 Install-Events in den Logs seines Claude Desktop. Wer die Datei löscht, hat sie beim nächsten App-Start zurück.

Besonders pikant: Anthropic dokumentiert öffentlich, dass die Chrome-Integration nur Chrome und Edge unterstützt — Brave, Arc und andere Chromium-Browser werden in der offiziellen Dokumentation explizit ausgeschlossen. Die Datei wird trotzdem in alle sieben geschrieben. Das gelieferte Verhalten und das dokumentierte Verhalten sind nicht deckungsgleich.

Die Provenance-Metadaten von macOS bestätigen, dass die Dateien von Claude Desktop geschrieben wurden — diese Metadaten kann eine Anwendung nicht fälschen, das Betriebssystem setzt sie. Die ausführbare Datei selbst ist mit Anthropic PBCs Developer-ID-Zertifikat (Team-Identifier Q6L2SF6YDW) signiert und über den regulären Distribution-Channel von Claude Desktop ausgeliefert. Es handelt sich also nicht um einen Test-Build, kein versehentliches Artefakt einer Entwicklerumgebung, sondern um eine bewusste Designentscheidung im Auslieferungszustand.

Was die Brücke tun kann, wenn sie aktiv wird

Die Brücke selbst tut im Ruhezustand nichts. Sie wartet auf eine paarende Extension. Das ist das Argument, hinter dem sich Anthropic naheliegenderweise verschanzen wird: technisch passiert ja nichts. Schauen wir uns also an, was passiert, sobald die Brücke aktiviert wird — und greifen dafür auf Anthropics eigene Dokumentation zurück. Anthropic schreibt selbst über die Capabilities der Claude-Browser-Extension:

Claude öffnet neue Tabs für Browser-Aufgaben und teilt den Login-Status des Browsers, sodass jede Seite, auf der wir bereits angemeldet sind, zugänglich ist.
Live-Debugging mit direktem Lesezugriff auf Konsolenfehler und DOM-State.
Datenextraktion aus Webseiten, lokal speicherbar.
Aufgabenautomatisierung: Dateneingabe, Formularausfüllung, Multi-Site-Workflows.
Session-Recording als GIF.

Übersetzen wir das in den Alltag: Wenn wir die Online-Banking-Seite offen haben, ist das im Capability-Umfang der Brücke. Wenn wir das Patientenportal unserer Krankenkasse aufrufen, ist das im Capability-Umfang. Wenn ein Admin gerade in der Konsole eines Produktionssystems eingeloggt ist, ist das im Capability-Umfang. Die Brücke läuft außerhalb der Browser-Sandbox, mit den Rechten des Nutzers, und taucht in keinem System-UI als laufender Prozess oder Permission-Eintrag auf — Native-Messaging-Hosts werden vom Browser via stdio aufgerufen und sind im macOS-Berechtigungsmodell nicht sichtbar.

Anthropic gibt im eigenen Launch-Blog zu Claude for Chrome an, dass Prompt Injection eine zentrale Sicherheitsherausforderung ist. Die genannten Zahlen: 23,6 % Erfolgsrate für Angriffe ohne Mitigationen, 11,2 % mit aktuellen Mitigationen. Wir lesen das nochmal: Eine von neun Angriffsversuchen mit präparierten Webseiten gelingt — und das ist der von Anthropic selbst publizierte, stand-der-Technik-Wert. Die Brücke ist auf jedem System, auf dem Claude Desktop läuft, vorinstalliert. Im Erfolgsfall einer Prompt Injection führt der Pfad über die Extension, durch die Brücke, in eine Helper-Binary mit Nutzerrechten außerhalb der Sandbox.

Die elf Punkte, an denen man hängenbleibt

Wenn wir Hanffs Analyse als Checkliste durchgehen, bleiben wir an mehreren Stellen hängen, die einzeln schon problematisch sind und in Kombination ein klares Muster ergeben:

Eine Anwendung schreibt über Vendor-Grenzen hinweg in fremde Anwendungsverzeichnisse, ohne dass der Nutzer informiert oder gefragt wurde. Es gibt keinen Opt-in, kein Häkchen, keinen Settings-Dialog, der die registrierten Integrationen anzeigt. Das Entfernen ist deutlich aufwändiger als das Installieren — man muss wissen, dass Native-Messaging-Hosts existieren, wo sie auf macOS liegen, dass ~/Library/Application Support seit 2011 standardmäßig ausgeblendet ist, und ein Terminal öffnen. Die Datei wird automatisch wiederhergestellt. Sie wird in Browser geschrieben, die laut Anthropics eigener Dokumentation nicht unterstützt werden. Sie wird in Browser geschrieben, die nicht installiert sind. Sie autorisiert Extensions, die der Nutzer nicht installiert hat. Es gibt kein UI auf irgendeiner Ebene, das diese Integration sichtbar macht.

Jeder einzelne dieser Punkte für sich wäre Anlass zur Diskussion. In der Summe ergeben sie das, was im Datenschutzkontext als Dark Pattern bezeichnet wird: ein Designmuster, das die Entscheidungsfreiheit des Nutzers systematisch unterläuft, ohne formal eine Lüge zu enthalten.

Anthropic schweigt

Wir hätten an dieser Stelle gern eine Stellungnahme von Anthropic eingebaut. Die gibt es nicht. The Register hat um Stellungnahme gebeten und keine Antwort erhalten. Malwarebytes hat um Stellungnahme gebeten und keine Antwort erhalten. Hanff selbst hat keine Antwort erhalten und sich gezwungen gesehen, ein Cease-and-Desist-Schreiben an Anthropic zu schicken — eine Eskalation, die normalerweise nicht der erste Schritt im Dialog zwischen Sicherheitsforschern und Herstellern ist.

Stand heute, gut zwei Wochen nach dem ursprünglichen Beitrag, gibt es keine technische Erklärung von Anthropic, keine juristische Einordnung, keine Ankündigung eines Patches und keine Korrektur der Dokumentation. Das ist im Jahr 2026 ein bemerkenswerter Befund.

Die rechtliche Dimension, kurz und schmerzhaft

Hanff argumentiert, dass das Verhalten Artikel 5(3) der ePrivacy-Richtlinie 2002/58/EG verletzt. Der Artikel ist in seinem Kern nicht kompliziert: Das Speichern von Informationen oder der Zugriff auf bereits gespeicherte Informationen auf dem Endgerät eines Nutzers ist nur mit dessen klarer und informierter Einwilligung zulässig — es sei denn, es ist für die Bereitstellung des angeforderten Dienstes unbedingt erforderlich.

„Unbedingt erforderlich" ist hier der Knackpunkt. Claude Desktop funktioniert vollständig, ohne dass Browser-Brücken in sieben Browsern vorinstalliert werden müssen — die Funktion „Claude in Chrome" ist eine separate, optionale Extension. Damit fällt das Argument der unbedingten Erforderlichkeit weg. Damit greift die Einwilligungspflicht. Eine Einwilligung gibt es nicht. Damit liegt nach europäischem Datenschutzrecht ein Verstoß vor — und zwar nicht in einer Grauzone, sondern recht eindeutig.

Hinzu kommt, dass das Schreiben in fremde Anwendungsverzeichnisse je nach Jurisdiktion auch unter Computerstrafrechtsnormen fallen kann. Hanff verweist konkret auf Artikel 337C des maltesischen Strafgesetzbuches. In Deutschland wäre eine Diskussion um § 202a StGB (Ausspähen von Daten) und § 303a StGB (Datenveränderung) zumindest nicht abwegig, auch wenn sich beide Normen primär gegen klassische Angriffe richten. Spannender wird es bei der DSGVO selbst: Artikel 25 verlangt Privacy by Design und Privacy by Default. Eine standardmäßig aktivierte, nicht abschaltbare, undokumentierte Cross-Vendor-Brücke ist das Gegenteil davon.

Warum gerade Anthropic dabei verliert

An dieser Stelle könnten wir sagen: Vorfälle dieser Art passieren, jede größere Software-Schmiede hat solche Episoden. Die spezielle Note an dieser Geschichte ist, wer sie produziert.

Anthropic hat sich seit der Gründung als die seriöse, sicherheitsbewusste, ethisch reflektierte Adresse der KI-Industrie positioniert. Die Firma ist aus einer Abspaltung von OpenAI hervorgegangen, deren Begründung im Kern lautete: Wir machen es vorsichtiger, wir machen es überlegter, wir machen es mit Constitutional AI und Responsible Scaling Policies. Das Marketing der Firma, die Veröffentlichungen ihres Alignment-Teams, die öffentliche Haltung gegen militärische Nutzung der eigenen Modelle — all das speist sich aus einem Selbstverständnis, das Sicherheit und Vertrauenswürdigkeit als Kernidentität ausweist.

Wer sich so positioniert, legt die Latte hoch. Und das zu Recht — denn in der KI-Industrie ist Vertrauen tatsächlich die Währung, mit der bezahlt wird.

Wir geben einer KI-Anwendung Zugriff auf unseren Code, auf unsere Kunden-Tickets, auf unsere E-Mails, auf unsere Kalender, auf interne Dokumente. Bei Claude Code geben wir der Anwendung Shell-Zugriff. Bei Claude in Chrome geben wir ihr unseren Login-Status. Wir tun das, weil wir der Firma dahinter zutrauen, sorgfältig zu sein. Wir tun das nicht, weil wir die technischen Details jeder Komponente prüfen können — niemand hat dafür die Zeit. Wir tun das, weil wir glauben, dass die Firma bereits geprüft hat.

Genau dieses Vertrauen wird durch das hier dokumentierte Verhalten beschädigt. Nicht weil im Ruhezustand etwas Schlimmes passiert — passiert ja nicht. Sondern weil sich die Firma in einer Frage, in der sie hätte fragen müssen, dafür entschieden hat, nicht zu fragen. Weil sie sich in einer Situation, in der sie hätte dokumentieren müssen, dafür entschieden hat, nicht zu dokumentieren. Weil sie in einer Konstellation, in der das geschriebene Verhalten von der dokumentierten Linie abweicht, dafür entschieden hat, das nicht zu korrigieren. Und weil sie auf einen Sicherheitshinweis, auf den professionell erwartbare Reaktion eine zeitnahe Stellungnahme wäre, dafür entschieden hat zu schweigen.

Das ist die Stelle, an der etwas verloren geht, das sich nicht mit dem nächsten Modell-Release zurückkaufen lässt.

Was die Industrie daraus lernen sollte

Der Vorfall ist kein Einzelfall, sondern ein Vorbote. Agentische KI-Systeme, die im Browser, im Dateisystem, in der Shell, in Kalendern und Mailkonten agieren, sind die Kategorie, in der die KI-Industrie gerade ihre nächste Wachstumsphase plant. Die Architektur dafür wird in diesen Monaten festgelegt — Native Messaging Bridges, MCP-Server, Browser-Extensions, Desktop-Helper, Filesystem-Connectors. Das Verhalten, das wir jetzt akzeptieren, wird die Norm dessen prägen, was in fünf Jahren als selbstverständlich gilt.

Wenn wir akzeptieren, dass eine Desktop-App stillschweigend in fremde Browser-Verzeichnisse schreibt, akzeptieren wir damit auch, dass die nächste Anwendung das tut. Wenn wir akzeptieren, dass undokumentierte Brücken in Software, die wir nicht installiert haben, vorinstalliert werden, akzeptieren wir das auch für die nächste Generation. Wenn wir akzeptieren, dass eine Firma auf substantielle Sicherheitsfragen einfach schweigt, akzeptieren wir das als Norm der Branche.

Was wir stattdessen brauchen, sind die Selbstverständlichkeiten, die Hanff am Ende seines Artikels auflistet — und die in keinem Punkt überraschend sind: Erstinstallationsdialoge mit echtem Opt-in. Pull statt Push, also Brücken nur dann, wenn die zugehörige Extension tatsächlich installiert wird. Strikte Eingrenzung des Scopes auf den Browser, für den der Nutzer eingewilligt hat. Sichtbarkeit aller registrierten Systemintegrationen in den Settings der Anwendung. Vollständige Dokumentation jedes Punktes, an dem die Anwendung in das System eingreift. Ein Re-Consent-Prompt für Nutzer, die mit älteren Versionen ungewollt Brücken installiert haben. Ein First-Connect-Prompt im Moment der tatsächlichen Aktivierung.

Nichts davon ist innovativ. Alles davon ist seit Jahren Standard für seriöse Desktop-Software. Dass wir es bei einer Firma einfordern müssen, die sich „sichere KI" auf die Fahne geschrieben hat, ist die eigentliche Pointe der Geschichte.

Was wir als Nutzer jetzt tun können

Wer Claude Desktop installiert hat und das Verhalten auf der eigenen Maschine prüfen will, kann das mit einem einzeiligen Befehl tun:

find ~/Library/Application\ Support \
  -name "com.anthropic.claude_browser_extension*"

Die Ausgabe zeigt, in welchen Browser-Verzeichnissen die Manifest-Datei abgelegt wurde — auch in solchen, die wir nie geöffnet haben. Die Datei zu löschen reicht nicht; sie wird beim nächsten Start von Claude Desktop neu geschrieben. Robustere Optionen sind die Deinstallation von Claude Desktop zugunsten von Claude Code (das eine separate, dokumentierte Brücke verwendet), oder ein chflags uchg auf der geleerten Datei, um die Wiederherstellung zu blockieren — letzteres ist ein Workaround, kein Fix.

Wem das zu kleinteilig ist, dem bleibt der politische Weg: Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde. In Deutschland ist das je nach Bundesland die Landesdatenschutzbehörde, auf europäischer Ebene gibt es Mechanismen für grenzüberschreitende Verfahren. Diese Behörden arbeiten genau für solche Fälle, und sie reagieren auf eine erhöhte Zahl gleichlautender Beschwerden.

Wo wir stehen

Wir haben einen Sicherheitsforscher, der einen reproduzierbaren Befund vorlegt. Wir haben unabhängige Bestätigungen durch Malwarebytes, The Register, Golem, weitere internationale Fachpresse. Wir haben einen klaren Verstoß gegen den Wortlaut von Artikel 5(3) der ePrivacy-Richtlinie. Wir haben ein Cease-and-Desist-Schreiben. Und wir haben, auf der anderen Seite, ein konsequentes Schweigen von Anthropic.

Eine Firma, die sich als Speerspitze sicherer KI versteht, hätte hier längst reagiert. Eine Stellungnahme, eine technische Einordnung, eine Ankündigung, dass das Verhalten geändert wird — irgendetwas. Stattdessen schweigt die Firma und hofft, dass die Geschichte unter dem Druck der nächsten Modell-Releases verschwindet.

Das wird sie nicht. Vertrauen ist in dieser Branche die einzige Währung, die nicht durch Marketing ersetzbar ist. Und wer sie verspielt, merkt das nicht im nächsten Quartal — sondern beim nächsten ernsthaften Sicherheitsvorfall, wenn sich die Frage stellt, ob die Firma wohl wieder schweigt.