Ich nutze Claude täglich. Claude Code läuft bei mir in jedem Projekt. Ich empfehle es meinen Kunden und habe hier auf dem Blog schon erklärt warum.
Und trotzdem: Was der Cybersicherheitsexperte Alexander Hanff im April 2026 auf seinem Mac gefunden hat, sollte jeder wissen der KI-Tools im Business einsetzt.
AUF EINEN BLICK: Claude Desktop schreibt beim Start automatisch Konfigurationsdateien in die Systemverzeichnisse von bis zu sieben verschiedenen Browsern — ohne dich vorher zu fragen. Das ist kein Grund Claude zu deinstallieren. Aber es ist ein Grund die Augen offenzuhalten und zu wissen was auf deinem Gerät passiert.
Das hier ist kein Anti-KI-Artikel. Es ist der Artikel den ich mir gewünscht hätte bevor ich Claude Desktop installiert habe.
Was hat Alexander Hanff genau gefunden?
Hanff debuggte im April 2026 ein eigenes Projekt und prüfte dabei die Hintergrundprozesse seines Brave-Browsers. In den Konfigurationsordnern fand er eine Datei die dort ohne seine Zustimmung gelandet war:
``` ~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/ com.anthropic.claude_browser_extension.json ```
Technisch gesehen handelt es sich um ein Native Messaging Manifest — ein Konfigurations-File das dem Browser mitteilt: "Wenn eine bestimmte Browser-Erweiterung anklopft, darf sie ein lokales Programm auf diesem Computer starten und direkt mit ihm kommunizieren." Dieser Kommunikationskanal läuft außerhalb der Browser-Sandbox, auf der gleichen Berechtigungsebene wie du selbst.
Das Problem: Hanff hatte diese Datei nicht installiert. Er hatte sie nicht autorisiert. Er wurde nicht informiert. Claude Desktop hatte sie beim Start automatisch angelegt — laut eigener Beschreibung Hanffs ohne jede Benachrichtigung oder Abfrage (Alexander Hanff, Security Audit Report, April 2026).
Nicht ein Browser — sieben
Das wäre schon bemerkenswert genug. Aber es geht weiter.
Claude Desktop installiert diese Manifest-Datei nicht nur im Brave-Verzeichnis. Die Anwendung schreibt identische Dateien in die Konfigurationsordner von bis zu sieben verschiedenen Chromium-basierten Browsern: Brave, Google Chrome, Microsoft Edge, Arc, Vivaldi, Opera und Chromium.
Der MD5-Hash der Datei ist laut Hanffs forensischer Analyse über alle Verzeichnisse identisch (`1e927a9e7796d0175a2a1f30028f4baa`) — bit-for-bit dieselbe Datei, überall hingeschrieben.
Besonders interessant: Das passiert auch für Browser die auf dem System zum Zeitpunkt der Installation gar nicht existieren. Claude Desktop legt Ordnerstrukturen für Edge oder Vivaldi an, nur für den Fall dass du diese Browser irgendwann mal installierst. Infrastruktur auf Vorrat sozusagen.
Hinzu kommt ein Persistence-Mechanismus. Löscht du die Datei manuell, wird sie beim nächsten Start von Claude Desktop neu angelegt. Hanff dokumentierte in seinen Log-Dateien unter `~/Library/Logs/Claude/main.log` insgesamt 31 Installationsereignisse — jedes Mal protokolliert unter dem internen Namen "Chrome Extension MCP" (Alexander Hanff, April 2026).
Ist das gefährlich — oder nur unschön?
Hier muss ich ehrlich sein: Die Brücke ist latent. Sie tut nichts solange du die Claude-Browser-Erweiterung nicht explizit installierst. Das ist Anthropics Argument und es ist technisch korrekt.
Aber "latent" bedeutet nicht "harmlos". Es gibt zwei konkrete Risiken die man kennen sollte:
Erstens: Prompt-Injection. Wenn die Brücke aktiviert ist, kann eine präparierte Webseite über unsichtbaren Text Anweisungen an die KI schicken die diese als legitime Befehle ausführt. Anthropics eigene Sicherheits-Dokumentation aus 2026 nennt eine Erfolgsquote von Prompt-Injection-Angriffen ohne Schutzmaßnahmen von 23,6% — mit aktuellen Schutzmaßnahmen 11,2%. Das ist kein Null-Risiko.
Zweitens: Wenn die Brücke aktiv ist, kann die KI über deinen bereits authentifizierten Browser auf alle Seiten zugreifen bei denen du eingeloggt bist. Anthropic beschreibt das in der eigenen Dokumentation klar: "Claude öffnet neue Tabs für Browser-Aufgaben und teilt den Login-Status Ihres Browsers, sodass er auf jede Seite zugreifen kann, bei der Sie bereits angemeldet sind." (Anthropic, Browser Automation Dokumentation, 2025/2026)
Für einen Privat-Nutzer ist das Risiko überschaubar. Für jemanden der einen Business-Browser mit Kunden-Zugängen, Ads-Manager, Banking und Admin-Konsolen nutzt — da würde ich genauer hinschauen.
Der Selbstcheck — 2 Minuten
Wenn du Claude Desktop installiert hast, kannst du jetzt nachsehen. Öffne den Finder, gehe zu Gehe zu → Gehe zum Ordner und prüfe folgende Pfade:
``` ~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/ ~/Library/Application Support/Google/Chrome/NativeMessagingHosts/ ~/Library/Application Support/Microsoft Edge/NativeMessagingHosts/ ```
Suchst du dort nach einer Datei namens `com.anthropic.claude_browser_extension.json`. Wenn du sie findest — sie ist da weil Claude Desktop sie angelegt hat, nicht weil du sie erstellt hast.
Was du tun kannst: - Die Datei löschen hilft kurzfristig nicht dauerhaft (sie kommt beim nächsten Start zurück) - Die Claude-Browser-Erweiterung nicht installieren solange Anthropic dieses Verhalten nicht transparent kommuniziert - Wenn du einen dedizierten Business-Browser nutzt: prüfen ob dort ebenfalls ein Manifest liegt - Safari und Firefox sind von dieser spezifischen Chromium-Mechanik aktuell nicht betroffen
Was ich daraus mitnehme
Ich deinstalliere Claude Desktop nicht. Die Leistung ist zu gut, der Nutzen zu real.
Aber dieser Fund von Hanff erinnert mich an etwas das ich in jedem Kurs sage: Du musst messen können. Alles andere ist Gambling. Das gilt für Ads-Budgets. Das gilt aber auch für Software die du täglich nutzt.
Wer KI-Tools im Business einsetzt — und das sollte jeder tun — der sollte wissen was diese Tools auf seinem Gerät tun. Nicht aus Paranoia. Sondern weil informierte Entscheidungen besser sind als uninformierte.
Die Grenze zwischen nützlichem Assistenten und ungebetener Infrastruktur ist manchmal dünner als die AGB die du beim Installieren weggeklickt hast.
Was als nächstes zu klären ist — Implied Queries
Betrifft das auch Claude Code (CLI) oder nur Claude Desktop? Die Entdeckungen von Hanff beziehen sich ausschließlich auf Claude Desktop — die grafische Mac-App. Claude Code läuft als CLI-Tool im Terminal und verwendet eine völlig andere Architektur. Die hier beschriebenen Native Messaging Hosts sind eine Desktop-App-spezifische Problematik.
Hat Anthropic reagiert? Zum Zeitpunkt der Veröffentlichung von Hanffs Bericht im April 2026 gab es keine offizielle Stellungnahme von Anthropic zu den spezifischen Installationspraktiken. Wer den aktuellen Stand prüfen möchte: Anthropics Status-Seite und ihr Blog sind die primären Quellen.
Gilt das auch für Windows? Hanffs forensische Analyse bezieht sich auf macOS. Native Messaging auf Windows nutzt die Windows Registry anstelle von Dateipfaden — ein ähnlicher Mechanismus, andere Implementierung. Ob Claude Desktop auf Windows identisches Verhalten zeigt, war zum Stand dieses Artikels nicht abschließend dokumentiert.
*Quellen: Alexander Hanff, Security Audit Report Claude Desktop, April 2026 · Anthropic Browser Automation Dokumentation 2025/2026 · Salvatore Princi, Sicherheitsanalyse Native Messaging, April 2026*
Willst du wissen wie das in deinem Business aussieht?
15 Minuten. Kostenlos. Wir schauen uns dein Setup an und geben dir konkrete nächste Schritte.
JETZT TERMIN SICHERN →WEITERE ARTIKEL