Prompt-Injection-Abwehr: Schutz für Ihren KI-Arbeitsplatz.
Prompt-Injection-Bedrohungen verstehen, reale Vorfälle analysieren und erfahren, wie die mehrschichtige Sicherheitsarchitektur von Claude Cowork Ihre Daten schützt.
Zuletzt aktualisiert: Februar 2026
Die Bedrohungslage
KI-Agenten stehen vor einzigartigen Sicherheitsrisiken, die herkömmliche Software nicht kennt.
Indirekte Prompt-Injection
Versteckte Anweisungen in Dokumenten, E-Mails oder Webseiten, die KI-Agenten dazu bringen, unbeabsichtigte Aktionen auszuführen.
MCP-Server-Schwachstellen
MCP-Server von Drittanbietern können Sicherheitslücken enthalten — etwa unzureichende Eingabevalidierung — die beliebigen Dateizugriff, Löschung oder Codeausführung ermöglichen.
Datenabfluss-Risiko
Eine kompromittierte KI-Sitzung mit Internetzugang könnte sensible Dateiinhalte über manipulierte Anfragen an Server des Angreifers senden.
Reale Vorfälle (Januar 2026)
Eine Chronologie der Sicherheitsereignisse, die die aktuelle Bedrohungslage für KI-Desktop-Agenten geprägt haben.
15. Jan. 2026
PromptArmor enthüllt Cowork-Datenabfluss
Sicherheitsforscher zeigten, dass versteckte Prompt-Injections in Dokumenten Cowork anweisen konnten, sensible Dateien zu lesen und an externe Server zu senden. Die Schwachstelle wurde erstmals im Oktober 2025 für Claudes Files API gemeldet.
20. Jan. 2026
Drei kritische Lücken im Git-MCP-Server
Die Cybersicherheitsfirma Cyata entdeckte Schwachstellen für beliebiges Dateilesen, Dateilöschung und Remote-Codeausführung in Anthropics offiziellem mcp-server-git. Behoben in Version 2025.12.
Gepatcht28. Jan. 2026
Branchenweite Reaktion
OWASP aktualisierte seine Top-10-KI-Risiken und setzte Prompt-Injection und 'Agent Goal Hijack' an die Spitze. MIT Technology Review veröffentlichte: 'Regeln scheitern am Prompt, greifen an der Grenze.'
Die „tödliche Trias“
Sicherheitsforscher Simon Willison identifizierte drei Faktoren, die in Kombination das höchste Risiko für KI-Agentensysteme darstellen:
Zugriff auf private Daten
Der Agent kann sensible Dateien, Zugangsdaten und persönliche Informationen auf Ihrem System lesen.
+Aktionsausführung
Der Agent kann Dateien schreiben, Befehle ausführen, Netzwerkanfragen stellen und mit externen Diensten interagieren.
+Nicht vertrauenswürdige Inhalte
Der Agent verarbeitet Dokumente, Webseiten oder E-Mails, die versteckte bösartige Anweisungen enthalten können.
Coworks Sicherheitsarchitektur
Claude Cowork setzt auf mehrere Schutzebenen — von Hardware-Isolation bis zu Modell-Sicherungen.
VM-Isolation
Cowork läuft in einer dedizierten Linux-VM mit Apples Virtualization Framework. Selbst bei Kompromittierung kann der Agent die VM-Grenze nicht überwinden und nicht auf nicht eingebundene Ordner zugreifen.
Netzwerk-Allowlisting
Sämtlicher ausgehender Datenverkehr läuft über einen Proxy mit Domain-Allowlisting. Beliebige URLs werden standardmäßig blockiert und unbefugter Datenabfluss verhindert.
Berechtigungssystem
Drei Regeltypen — Erlauben, Nachfragen und Verweigern — steuern, welche Aktionen der Agent ausführen darf. Dateischreibvorgänge, Bash-Befehle und MCP-Tool-Nutzung erfordern explizite Genehmigung.
Inhaltsklassifikatoren
Spezielle Klassifikatoren prüfen nicht vertrauenswürdige Inhalte auf Prompt-Injection-Muster, bevor der Agent sie verarbeitet — versteckte Anweisungen in Dokumenten und Webseiten werden erkannt.
RLHF-Schutzmaßnahmen
Claude wird durch Reinforcement Learning from Human Feedback trainiert, bösartige Anweisungen zu erkennen und abzulehnen. Jede Modellgeneration zeigt messbare Verbesserungen bei der Injection-Resistenz.
10 Sicherheits-Best-Practices
Konkrete Maßnahmen zur Risikominimierung beim Einsatz von KI-Desktop-Agenten.
Ordnerzugriff einschränken
Gewähren Sie Cowork nur Zugriff auf bestimmte Arbeitsordner. Binden Sie niemals Ihr Home-Verzeichnis, SSH-Schlüssel oder Credential-Stores ein.
Nicht vertrauenswürdige Dateien prüfen
Lassen Sie Cowork keine Dokumente aus unbekannten Quellen verarbeiten. Dateien können unsichtbare Prompt-Injections mit verstecktem Text oder Unicode-Tricks enthalten.
MCP-Server aktuell halten
Die Git-MCP-Server-Schwachstellen zeigen, dass MCP-Server kritische Lücken haben können. Verwenden Sie immer die neuesten Versionen.
Sandbox-Umgebungen nutzen
Aktivieren Sie Claude Codes Sandbox-Runtime oder verwenden Sie Docker-Container für zusätzliche Isolation über die Standard-VM hinaus.
Geheimnisse schützen
Speichern Sie API-Schlüssel und Tokens in Umgebungsvariablen, nicht im Quellcode oder in Prompts. Halten Sie Zugangsdaten nach Möglichkeit aus MCP-Konfigurationsdateien heraus.
Netzwerkzugriff beschränken
Verwenden Sie Domain-Allowlists für ausgehende Verbindungen. Blockieren Sie beliebige URLs standardmäßig, um Datenabfluss zu verhindern.
Deny-Regeln verwenden
Konfigurieren Sie Deny-Regeln für gefährliche Operationen. Erlauben Sie nicht pauschal alle MCP-Tools — genehmigen Sie jedes einzeln.
Aktivitäten überwachen
Beobachten Sie das Echtzeit-Aktivitätsprotokoll während der Sitzungen. Achten Sie auf unerwartete Dateizugriffe, ungewöhnliche Netzwerkanfragen oder auffällige Verhaltensmuster.
Prinzip der minimalen Rechte
Gewähren Sie nur die für jede Aufgabe minimal erforderlichen Berechtigungen. Entziehen Sie den Zugriff nach Abschluss der Aufgabe.
Backups pflegen
Sichern Sie wichtige Dateien, bevor ein KI-Agent sie bearbeitet. Die Sandbox schützt Ihr Betriebssystem, aber nicht die Daten in freigegebenen Ordnern.
MCP-Sicherheits-Checkliste
Spezifische Sicherheitsmaßnahmen für MCP-Server-Integrationen (Model Context Protocol).
Installieren Sie MCP-Server nur aus verifizierten Quellen (offizielle Anthropic-Pakete oder vertrauenswürdige Entwickler)
Prüfen Sie den Quellcode oder die Dokumentation des Servers vor der Installation
Halten Sie alle MCP-Server auf dem neuesten Stand — Sicherheitspatches werden regelmäßig veröffentlicht
Verwenden Sie Umgebungsvariablen für API-Schlüssel statt sie in claude_desktop_config.json fest einzutragen
Beschränken Sie den Wirkungsbereich jedes MCP-Servers auf das Minimum (z. B. Dateisystem-Server auf bestimmte Verzeichnisse)
Überwachen Sie MCP-Server-Logs auf unerwartete Operationen oder Zugriffsmuster
Entfernen Sie nicht genutzte MCP-Server aus Ihrer Konfiguration, um die Angriffsfläche zu reduzieren
Sicherheit beginnt mit Bewusstsein.
Bleiben Sie über die neuesten Sicherheitspraktiken für KI-Agenten informiert. Konfigurieren Sie Ihren Arbeitsplatz nach dem Defense-in-Depth-Prinzip.