Claude installiert npm-Pakete von selbst, und das falsche stiehlt deine Dateien

Die Computer-Use-Funktion von Claude kann etwas, das ein gewöhnlicher Chatbot nicht kann. Sie öffnet ein Terminal auf deinem Rechner und installiert für dich Software, darunter Pakete direkt aus npm, der größten Registry für quelloffenen Code der Welt. Der Reiz liegt auf der Hand, denn er schrumpft «richte mir dieses Projekt ein» auf einen einzigen Satz. Im selben Satz steckt die Gefahr, denn sobald ein Paket ankommt, kann npm den Startcode ausführen, den dieses Paket mitgebracht hat, und nun drückt ein autonomer Agent ab.

Für jeden, der einen KI-Agenten Code schreiben oder ausführen lässt, und das sind immer mehr Entwickler, Hobbyisten und neugierige Laien, ist die praktische Frage unverblümt. Wenn Claude ein Paket installiert, das du nie angesehen hast, und dieses Paket gebaut wurde, um deine Dateien im Moment der Landung zu kopieren, wer hätte es aufhalten sollen? Ein aktuelles Video eines Sicherheitsforschers spielt genau diese Lage durch und zeigt ein präpariertes Paket, das während einer routinemäßigen Installation lokale Dateien liest, die die KI ohne Zögern durchführt.

Der Mechanismus ist nicht neu, und genau das macht ihn ernst. npm-Pakete dürfen Installationsskripte deklarieren, kleine Anweisungen, die automatisch laufen, sobald ein Paket einem Projekt hinzugefügt wird, bevor auch nur eine Zeile davon bewusst genutzt wird. Das ist dokumentiertes Verhalten, kein Fehler. Es erlaubt legitimen Werkzeugen, sich zu kompilieren oder ihre Umgebung vorzubereiten. Es bedeutet aber auch, dass jedes Paket beim Installieren Code auf deiner Maschine ausführen kann, mit deinen eigenen Rechten, und Sicherheitsteams warnen seit Jahren davor.

Wie viel auf dem Spiel steht, führte die Welt sich vor Augen, als Angreifer das Maintainer-Konto hinter Axios übernahmen, einer Netzwerkbibliothek, die zig Millionen Mal pro Woche heruntergeladen wird, und ihr eine bösartige Abhängigkeit unterschoben, die einen Fernzugriffstrojaner auf den Maschinen der Entwickler installierte. Den echten Axios-Code rührten sie nie an. Das Installationsskript erledigte die Arbeit. Axios ist zufällig ein Baustein in Claude Code selbst, neben unzähligen anderen Anwendungen, was zeigt, wie gering der Abstand zwischen dem Werkzeug, dem du vertraust, und dem Code ist, den es still hinter sich herzieht.

Was die Demonstration diesem vertrauten Bild hinzufügt, ist der Agent. Ein Mensch, der eine Installation startet, kann zumindest innehalten, den Paketnamen lesen, bemerken, dass er falsch geschrieben oder eben erst veröffentlicht ist, und zurücktreten. Ein KI-Agent, der auf eine vage Anweisung handelt, hat diesen Reflex nicht. Er installiert, was er für nötig hält. Und weil Computer Use auch den Bildschirm liest, den Cursor bewegt und tippt, bleibt eine vergiftete Abhängigkeit nicht im Code-Editor eingesperrt. Sie hat freie Bahn über den ganzen Schreibtisch.

Es lohnt sich, genau zu sein, was das ist und was nicht. Es ist keine versteckte, nur für Claude typische Hintertür, und kein Beweis, dass das Modell ausgetrickst wurde, um seine eigenen Regeln zu umgehen. Es ist das vorhersehbare Ergebnis davon, irgendeinem autonomen Programm die Macht zu geben, Software zu installieren, kombiniert mit einer Registry, die seit über einem Jahrzehnt Installationscode standardmäßig ausführt. Tausche Claude gegen einen beliebigen anderen Coding-Agenten mit denselben Rechten, und das Bild ist identisch. Die Gefahr lebt in der Autonomie und in der Registry, nicht im Chatbot eines Unternehmens.

Anthropic steuert eher in die Gegenrichtung. Das Unternehmen lieferte kürzlich für seine Coding-Werkzeuge eine Sandbox aus, die den Agenten vom Rest des Systems abschottet, begrenzt, welche Dateien er lesen und welche Server er erreichen kann, und veröffentlichte das zugrunde liegende Isolations-Toolkit als Open Source für andere Entwickler. Die Logik ist jene, die die Demo offenlegt. Ein Agent, der deine SSH-Schlüssel nicht erreicht, kann sie nicht verraten, und ein Agent, der keinen unbekannten Server kontaktieren kann, kann deine Dateien nirgendwohin schicken. Das Unternehmen sagt, diese Grenzen senkten die Berechtigungsabfragen, die es Nutzern zeigt, um rund 84 Prozent, was zählt, weil ein Werkzeug, das nach allem fragt, die Leute rasch darauf trainiert, ja zu klicken.

Für jene, die diese Werkzeuge wirklich nutzen, sind die Schutzmaßnahmen langweilig und wirksam. Lass den Agenten in einer Sandbox, einem Container oder einer wegwerfbaren virtuellen Maschine laufen, damit das Schlimmste, was ein schlechtes Paket erreichen kann, eine verzichtbare Umgebung ist. Schalte automatische Installationsskripte ab, wo der Arbeitsablauf es erlaubt, etwas, das einige neuere Paketmanager bereits standardmäßig tun. Halte Zugangsdaten, Schlüssel und persönliche Dateien fern von der Maschine, auf der ein Agent freie Hand hat. Und behandle «installier mir das» mit der Vorsicht, die du «öffne diesen E-Mail-Anhang» entgegenbringst, denn darunter ist es dem näher, als es sich anfühlt.

Das konkrete Paket der Demonstration ist der Beweis eines Forschers, kein realer Ausbruch, und es gibt kein Anzeichen, dass es echte Nutzer erreichte. Das Muster dahinter ist der Teil, der sich nicht eindämmen lässt. Agentengestütztes Programmieren wird schneller zum Normalfall, als die Gewohnheiten nachkommen, die es sicher halten sollen, und die Registries, auf die sich diese Agenten stützen, wurden nie für eine Welt gebaut, in der das, was den Installationsbefehl tippt, kein Mensch ist. Bis sich diese Lücke schließt, zielt die älteste Regel der Softwaresicherheit nun auf eine neue Art von Nutzer: Was dein Agent installiert, das führt er aus, also entscheide, was er anfassen darf, bevor du ihn starten lässt.