KI-Werkzeug "Claude Desktop" installiert ungefragt Browser-Schnittstellen – Sicherheitsrisiko?
Anthropic gehört zu den Großen, was die US-amerikanischen KI-Anbieter angeht. Das von ehemaligen OpenAI-Angestellten gegründete Unternehmen betont regelmäßig, nach ethischen Grundsätzen zu handeln – so verweigerte es eine Zusammenarbeit mit dem US-Militär in bestimmten Bereichen. Doch wenn es um die Installation des eigenen Clients auf Anwender-Rechnern geht, scheint der Anbieter von KI-Tools unter dem Namen „Claude“ wenig zimperlich vorzugehen – und seiner App vorab Zugriff auf Browser zu gewähren. So lautet zumindest der Vorwurf von
Alexander Hanff: Er entdeckte auf seinem Mac sieben browser-spezifische „NativeMessagingHosts“-Konfiguationsdateien, die ohne seine Zustimmung installiert wurden.
Auf diese Weise stattet Claude Browser-Erweiterungen im Voraus mit vollen Nutzerrechten aus, argumentiert Hanff, der selbst einen Native-Messaging-Helper entwickelt und darum über diese Konfigurationsdateien stolperte. Die Freibriefe im JSON-Format landen allesamt im Ordner „Application Support“, und zwar in den spezifischen Unterordnern der jeweiligen Browser. Falls ein Browser nicht auf dem Mac installiert ist, legt eine Installationsroutine die Ordnerstruktur eigenständig an. Für den Chrome-Browser sieht der Pfad etwa so aus:
~//Library/Application Support/Google/Chrome/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
Da er sich nicht erinnern konnte, eine derartige Installation vorgenommen zu haben, machte er sich auf die Suche nach dem Ursprung. Er konnte recht zweifelsfrei feststellen, dass die Software
Claude Desktop der Verursacher ist. Er wurde jedoch nie danach gefragt, ob er eine entsprechende Installation wünsche.
Unterschied zu Claude CodeDabei differenziert er zwischen „Claude Desktop“, einer Rundumlösung für Anwender, und „Claude Code“, einem auf Software-Entwickler ausgerichteten Werkzeug. Letztere fragt den Anwender bei der Installation, ob er entsprechende Browser-Erweiterungen nutzen wolle, und installiere diese dann auch. Claude Desktop richtet lediglich eine Vorabfreigabe für drei Erweiterungen ein, fügt diese allerdings gar nicht der Mac-Konfiguration hinzu. Dennoch, so argumentiert Hanff, entstehe eine potenzielle Sicherheitslücke: Eine nachträglich geladene Chrome-Erweiterung, welche einem der drei Definitionen entspreche, sei automatisch für sieben Browser aktiviert und könne deren Inhalte lesen und wie der Anwender mit Websites interagieren.
Datei wird immer wieder erneuertDer Entdecker hält dies zumindest für ein „Dark Pattern“. In einer tieferen Analyse beobachtete er, dass die entsprechenden JSON-Dateien im Dezember 2025 installiert und seitdem 31-mal geändert wurden. Löscht er sie von Hand, legt Claude Desktop beim nächsten Start nach und legt sie erneut an den entsprechenden Orten ab. Ein Test in einer virtuellen Maschine bestätigt: Noch bevor der Anwender dem Speichern von Cookies zugestimmt hat, finden sich die claude_browser_extension-Dateien im Application-Support-Ordner – für Google Chrome, Chromium, Brave, Arc, Vivaldi, Opera und Edge.
Obwohl Claude Desktop noch nicht vollständig gestartet ist, werden bereits Browser-Erweiterungen vorab freigegeben.
Widerspruch zu E-Privacy-Richtlinie?Aus Sicht des Entwicklers entspricht dies einer Vorabaktivierung von Spyware, welche im Nachgang installiert werden kann. Dies könnte im Widerspruch zur E-Privacy-Richtlinie stehen. Zudem wundert er sich, wie es sein kann, dass ein Programm mit derartigen Eingriffen in die Konfiguration von Software anderer Anbieter der Überprüfung von Apple standhält: Das Claude-Desktop-Paket hat eine gültige Signatur des Entwicklerzertifikats von Anthropic, wurde also bei Apple auf Überprüfung eingereicht.