Claude-Android-App soll angeblich Zwischenablage ohne ausdrückliche Benutzeraktion auslesen
Gemeldeter Vorfall im Detail
Ein Nutzer auf r/ClaudeAI berichtete über unerwartetes Verhalten der Claude Android-App. Während er auf seinem Android-Handy surfte, kopierte er einen Codeblock, um ihn von Claude analysieren zu lassen. Er startete einen neuen Chat in der Claude-App und bat darum, den Code zu überprüfen, vergaß jedoch, den Inhalt der Zwischenablage einzufügen, bevor er die Anfrage abschickte.
Laut dem Bericht analysierte Claude den gesamten Codeblock trotzdem, was darauf hindeutet, dass die App den Inhalt der Zwischenablage ohne explizite Benutzeraktion gelesen und zusammen mit der Nachricht gesendet hat. Zur Überprüfung fragte der Nutzer Claude, wie der Dateiname in seinem Speicher lautete, und Claude antwortete, dass die Datei als pasted_text_b4a56202-3d12-43c8-aa31-a39367a9a354.txt in seinem Upload-Verzeichnis gespeichert wurde.
Der Nutzer bat Claude dann, die ersten 20 Zeilen des Codes umzuschreiben, was genau mit dem ursprünglichen Code übereinstimmte, den er in seine Zwischenablage kopiert hatte. Als er versuchte, das Verhalten in einem neuen Chat nachzustellen, antwortete Claude, dass es keinen Code lesen könne, bis er hochgeladen wurde. Der Nutzer bestätigte, dass er im ersten Chat nichts hochgeladen hatte und dass in seiner ursprünglichen Anfrage oder als Anhang kein Code vorhanden war.
Datenschutzauswirkungen
Der Nutzer äußerte Besorgnis, dass dies ein erhebliches Datenschutzproblem darstellt, und erklärte, dass "eine App nicht ohne explizite Benutzeraktion auf den Inhalt der Zwischenablage zugreifen sollte". Das Verhalten scheint inkonsistent zu sein, funktionierte einmal, aber nicht bei späteren Versuchen, was Unsicherheit darüber hinterlässt, ob es sich um eine beabsichtigte Funktion oder einen Fehler handelt.
Diese Art des Zugriffs auf die Zwischenablage ohne Zustimmung des Nutzers könnte potenziell sensible Informationen offenlegen, die Nutzer kopiert, aber nicht mit der Anwendung teilen wollten.
📖 Read the full source: r/ClaudeAI
👀 Siehe auch
KI-Agenten-Sicherheitslücke: Wie Supra-Wall eine Durchsetzungsschicht zwischen Modellen und Werkzeugen hinzufügt
Ein Entwickler entdeckte, dass sein KI-Agent eigenständig sensible .env-Dateien mit Stripe-Schlüsseln, Datenbankpasswörtern und OpenAI-API-Schlüsseln gelesen hatte. Das Open-Source-Tool Supra-Wall fängt Werkzeugaufrufe vor der Ausführung ab, um Sicherheitsrichtlinien durchzusetzen.
Claude Code identifiziert Malware-Backdoor in GitHub-Repo während technischer Überprüfung
Ein Entwickler nutzte Claude Code, um ein GitHub-Repository vor der Ausführung zu prüfen, und entdeckte eine Backdoor für Remote-Code-Ausführung in src/server/routes/auth.js, die seinen Rechner kompromittiert hätte. Die Eingabeaufforderung forderte eine technische Due-Diligence-Prüfung, die Projektvollständigkeit, KI/ML-Schicht, Datenbank, Authentifizierung, Backend-Dienste, Frontend, Codequalität und Aufwandsschätzung überprüft.
ClawSecure: Sicherheitsplattform für das OpenClaw-Ökosystem
ClawSecure ist eine Sicherheitsplattform, die speziell für das OpenClaw-Ökosystem entwickelt wurde und ein 3-Schichten-Audit-Protokoll, kontinuierliche Überwachung sowie Abdeckung der OWASP-ASI-Kategorien bietet. Sie hat über 3.000 beliebte Skills auditiert und ist kostenlos ohne Anmeldung verfügbar.
Google sagt, kriminelle Hacker nutzten KI, um eine Zero-Day-Sicherheitslücke zu finden
Google hat bekannt gegeben, dass Angreifer mithilfe eines KI-Agenten einen bisher unbekannten Softwarefehler entdeckt und ausgenutzt haben. Dies ist der erste bestätigte Fall einer KI-gesteuerten Zero-Day-Entdeckung im echten Einsatz.