Das Prompt-Injection-Problem: Fundamentales Sicherheitsrisiko

Zwei Tage nach Launch dokumentierten Forscher von Promptarmor kritische Schwachstellen durch eine indirekte Prompt-Injection(öffnet im neuen Fenster) . Das Angriffsszenario: Ein Angreifer platziert versteckte Befehle in einem Dokument (PDF, DOCX, TXT), Cowork liest das Dokument im Rahmen einer legitimen Aufgabe, die versteckten Befehle manipulieren Claudes Verhalten und vertrauliche Dateien werden exfiltriert – ohne explizite Nutzerfreigabe.

Unsere Tests zeigen leider, dass dieses Verhalten bisher nicht abgestellt wurde. Sobald der Agent die Befehle liest, verarbeitet er sie auch. Das reicht vom Versenden von Dateien über das Löschen von Daten bis hin zum unnötigen übermäßigen Verbraucht von Token.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Microsoft Entra ID (Azure Active Directory): virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration: Troubleshooting (E-Learning)

zum Kurs

Anthropic selbst warnt in der Dokumentation vor "potenziell destruktiven Aktionen" – ohne jedoch robuste Schutzmechanismen zu implementieren. Die aktuelle Lösung basiert auf Bestätigungsdialogen, die bei häufiger Nutzung zur dazu führen, dass Nutzer nach häufigen Nachfragen irgendwann die Aktion auf Dauer bewilligen.

Anwendungsfälle: Wo Cowork heute schon sinnvoll ist

Bei der Datenanalyse und beim Reporting ist Claude Cowork eine große Hilfe: Bei strukturierten Daten wie CSV, JSON oder einfachen Excel-Dateien liefert Cowork schnelle, brauchbare Analysen. Auch bei der Powerpoint-Erstellung, PDF-Zusammenstellung und formatierten Reports schlägt das Tool alles, was wir bisher gesehen haben.

Auch im Bereich Batch-Operationen auf Dateisystem-Ebene wie Umbenennungen, Formatkonvertierung oder Struktur-Reorganisation erzielten wir sehr gute Ergebnisse.

Das uns ebenfalls gefiel, war die erfolgreiche Content-Aggregation aus multiplen Quellen (E-Mails, PDFs, Webseiten) mit anschließender Synthese der Fundstücke.

Fazit: Technologisch beeindruckend, praktisch unreif

Claude Cowork zeigt, worauf die Zukunft von KI-Agenten auf dem Desktop hinauslaufen kann. Die technische Implementierung via VM-Sandbox ist durchdacht, die Fähigkeiten übertreffen vergleichbare Tools in mehreren Bereichen.

Gleichzeitig offenbart der Test fundamentale Probleme: Das Prompt-Injection-Risiko disqualifiziert Cowork für sicherheitskritische Einsätze. Die MacOS-Exklusivität schränkt die Zielgruppe massiv ein und die fehlende Persistenz und der hohe Token-Verbrauch beeinträchtigen die Praktikabilität.

Bisher ist die Bezeichnung Research Preview(öffnet im neuen Fenster) , die Anthropic für Cowork verwendet, also richtig. Für Early Adopter mit MacOS, Toleranz für Experimente und unkritischen Daten hat das Tool durchaus einen Mehrwert. Professionelle Anwender sollten auf künftige Versionen warten, die die Sicherheitsprobleme adressieren.