Claude Cowork 'Erlaube alle Browser-Aktionen'-Berechtigung: Sicherheitsbedenken und vorgeschlagene Lösungen
Ein Nutzer auf r/ClaudeAI hat erhebliche Sicherheitsbedenken bezüglich der Schaltfläche 'Alles erlauben' in den Browser-Aktionsberechtigungen von Claude Cowork geäußert. Der Beitrag beschreibt, wie wiederholte Berechtigungsaufforderungen Nutzer dazu verleiten können, diese Schaltfläche aus Bequemlichkeit zu klicken, was Claude jedoch dauerhaften, uneingeschränkten Browserzugriff über alle zukünftigen Sitzungen hinweg gewährt.
Das Sicherheitsproblem
Laut der Quelle gibt es nach dem Klicken von 'Alles erlauben' 'keine Transparenz, Grenzen, Ablaufdatum oder Umfangseinschränkung'. Dies verwandelt eine UX-Belästigung in 'eine unsichtbare, dauerhafte Angriffsfläche für Prompt-Injection und anderes unvorhersehbares Verhalten'. Der Nutzer betont, dass der Umfang dieser Berechtigung 'für den Nutzer im Moment des Klickens unmöglich angemessen einzuschätzen, zu verstehen und durchzudenken' ist.
Vorgeschlagene Lösungen
Der Beitrag schlägt vor, Berechtigungen standardmäßig eingeschränkt zu gestalten, mit diesen spezifischen Alternativen:
- Sitzungsbezogen (Standard): Alle Browser-Aktionen nur für diese Sitzung erlauben. Dies bietet den gleichen Komfort, läuft aber automatisch ab und gibt Nutzern ein besseres Verständnis des Umfangs.
- Fähigkeitsbezogen: Browserzugriff nur, während eine bestimmte Fähigkeit aktiv ist. Dies bindet die Berechtigung an die Absicht, anstatt einen Blankoscheck auszustellen. Der Vorschlag beinhaltet, eine Bestätigungsbox zu öffnen, wenn eine Fähigkeit Berechtigungen anfordert, damit Nutzer die Relevanz im aktuellen Kontext bestimmen können.
- Dauerhaft (aktuelles Verhalten): Als erweiterte, letzte Option beibehalten, mit einer klaren Warnung darüber, was 'alle Websites, alle Sitzungen, kein Ablauf' tatsächlich bedeutet. Der Nutzer schlägt vor, dass dies nie erlaubt werden sollte.
Der Beitrag enthält auch eine Bonusidee: 'Eine Liste vertrauenswürdiger Seiten pflegen, auf die ohne Berechtigungsanfrage zugegriffen werden kann.'
Begründung
Der Nutzer argumentiert, dass 'die Vermeidung wiederholter Berechtigungsklicks absolut nützlich ist – aber Nutzer sollten nicht dauerhafte Sicherheitsgefährdung gegen grundlegenden Arbeitskomfort eintauschen müssen'. Sie merken an, dass Klickermüdung eigene Risiken schafft, da Nutzer möglicherweise 'einfach alles erlauben, um diese verdammten Aufforderungen loszuwerden'.
📖 Read the full source: r/ClaudeAI
👀 Siehe auch
Proxy-Schicht-Isolierung für lokale Agenten-API-Schlüsselsicherheit
Ein Entwickler teilt einen Ansatz zur API-Schlüssel-Isolierung in lokalen Agenten-Setups mithilfe eines Rust-Proxys, der Platzhalter-Tokens gegen echte Zugangsdaten austauscht, um die Offenlegung im Agenten-Speicher, in Protokollen, Kontextfenstern und Tool-Umgebungen zu verhindern.
Agent-Isolationssicherheitsanalyse: Vom Sandbox-freien Ansatz bis hin zu Firecracker-VMs
Analyse, wie Cursor, Claude Code, Devin, OpenAI und E2B Agenten-Workloads isolieren, von keiner Sandbox bis hin zu hardware-isolierten Firecracker-MicroVMs. Container-Runtimes hatten seit 2019 jährlich Escape-CVEs, während Firecracker in sieben Jahren keine Gast-zu-Host-Escapes hatte.
Claudes Konversationssuchwerkzeug gibt weiterhin gelöschte Chats zurück
Ein Claude Pro-Benutzer entdeckte, dass gelöschte Unterhaltungen über Claudes Gesprächssuchfunktion weiterhin abrufbar sind, wobei inhaltliche Angaben wie Titel, Nachrichtenanzahl und Auszüge zurückgegeben werden, obwohl die Chat-Links nicht mehr funktionieren.
