Die Sicherheitsfirma Tego AI hat am 14. Juli 2026 eine kritische Schwachstelle in Claude Tag, Anthropics nativer Slack Integration, aufgedeckt: Der KI Assistent reagiert auf jede Nachricht mit dem Buchstaben Text @Cla...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What security vulnerability did Tego AI disclose about Anthropic's Claude Tag Slack integration,. Article summary: Here is a fact-checked breakdown of all three layers of your question.. Topic tags: general, general web, user generated, news. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
Am 14. Juli 2026 veröffentlichte die israelische Cybersicherheitsfirma Tego AI eine Untersuchung, die eine kritische Sicherheitslücke in Claude Tag, Anthropics nativer Slack-Integration, aufdeckt . Die Forscher beobachteten, dass Claude Tag auf jede Slack-Nachricht reagiert, die den Buchstaben-Text
@Claude enthält – selbst dann, wenn die Nachricht gar nicht als echte Slack-Erwähnung an den Agenten adressiert war .
Ein Angreifer, der Zugriff auf einen Slack-Channel hat, kann @Claude einfach in eine Nachricht einfügen, die von Bots, Webhooks oder automatisierten Feeds stammt. Der Agent interpretiert diese Nachricht dann als legitimen Befehl und kann unautorisierte Aktionen im Unternehmen ausführen – etwa sensible Daten lesen, Tool-Aufrufe starten oder mit verbundenen Systemen interagieren .
Kurz gesagt: Der Auslösemechanismus lässt sich fälschen. Eine harmlose Kollaborationsfunktion wird so zur Angriffsfläche für Prompt-Injection, bei der jede Nachricht mit dem Trigger-String die Aufmerksamkeit und die Fähigkeiten des Agenten kapern kann.
Anthropic brachte Claude Tag am 23. Juni 2026 auf den Markt – als direkten Ersatz für die ältere „Claude in Slack“-Integration, die am 3. August 2026 eingestellt wurde . Claude Tag ist kein persönlicher Chatbot. Es ist ein ständig präsenter, gemeinsamer Teilnehmer in einem Slack-Channel mit eigener Identität, eigenem Gedächtnis und Zugriff auf Tools. Jeder autorisierte Kanalteilnehmer kann
@Claude erwähnen, um Aufgaben zu delegieren. Der KI arbeitet asynchron und für alle sichtbar im Channel .
Claude Tag arbeitet im sogenannten „Ambient“-Modus: Es verfolgt Gespräche kontinuierlich, lernt den Kontext des Channels und meldet sich proaktiv, um Updates zu signalisieren oder Aufgaben zu identifizieren . Seine Berechtigungen gelten pro Channel und nicht pro Benutzer. Administratoren können für jeden Channel eigene Tool-Sets, Datenzugriffe und Ausgabenlimits festlegen
.
Im Hintergrund läuft jede Claude-Tag-Sitzung auf dem Opus 4.8-Modell in einer von Anthropic verwalteten Linux-MicroVM. Die Anmeldedaten für Verbindungen werden außerhalb der VM gespeichert, der Netzwerkzugriff erfolgt über einen Proxy, und die Tools sind schreibgeschützt, um eine Isolation zu gewährleisten . Die Nutzung eines Channels wird dem Unternehmen zu API-Konditionen in Rechnung gestellt – nicht pro Sitzplatz –, was traditionelle Preismodelle für Unternehmenssoftware umkehrt
.
Der Befund von Tego AI steht nicht für sich allein. Er wird von zwei weiteren großen Sicherheitsvorfällen Mitte 2026 begleitet, die zusammen eine Krise in der Sicherheit von KI-Agenten in Unternehmen offenbaren.
Am 30. Juni 2026 deckte der unabhängige Forscher „Thereallo“ durch Reverse Engineering von Claude Code auf, dass das Tool obfuskierten JavaScript-Code enthielt, der heimlich den geografischen Standort der Benutzer (über Zeitzonen-Prüfungen) ermittelte und die System-Prompts mit optisch identischen, aber anderen Unicode-Zeichen modifizierte – etwa ein geschwungenes statt eines geraden Apostrophs oder einen Schrägstrich statt eines Bindestrichs. Diese Änderung diente als heimlicher Tracking-Marker, den Anthropics Backend erkennen konnte . Chinas Nationale Verwundbarkeitsdatenbank (NVDB) stufte dies am 8. Juli als formellen „Backdoor“-Sicherheitsalarm für die Claude-Code-Versionen 2.1.91 bis 2.1.196 ein
. Alibaba verbot daraufhin die interne Nutzung von Claude Code
. Anthropic bezeichnete die Funktion als „Anti-Missbrauchs-Experiment“ und entfernte sie am 1. Juli
.
Das Model Context Protocol (MCP), die Infrastruktur, die Claude Tag und viele andere KI-Agenten mit externen Tools und Daten verbindet, weist systemische Designfehler auf. Die wichtigsten Erkenntnisse aus dem Jahr 2026:
exec() oder Shell-Injection, 13 % betreffen Path-Traversal Unternehmen, die Claude Tag und ähnliche KI-Agenten einsetzen, stehen vor einer dreifachen Bedrohung: Prompt-Injection-Angriffsflächen auf der Auslöseebene der Agenten (Tego-AI-Befund), intransparentes Tracking auf der Anbieterseite in den Agenten-Tools (Claude-Code-Tracker) und grundlegend unsichere Infrastruktur-Standards im MCP-Ökosystem, das Agenten mit Tools und Daten verbindet.
Identitäts- und Zugriffskontrollfehler wirken sich schnell aus, wenn ein persistenter Agent wie Claude Tag über umfassende Tool-Zugriffe verfügt und durch gefälschte Erwähnungen ausgelöst werden kann . Traditionelle API-Governance ist für agentische Workflows unzureichend, da Agenten nicht per-Benutzer-Berechtigungsmodellen oder Anfrage-Antwort-Mustern folgen
. Das Lieferkettenrisiko ist enorm: Eine Schwachstelle in der MCP-Referenzimplementierung überträgt sich auf jede nachgelagerte Bereitstellung
. Transparenz und Prüfbarkeit bleiben kritische Probleme – der Claude-Code-Tracker war in minimiertem JavaScript versteckt und wurde nur durch externes Reverse Engineering entdeckt. Sicherheitsteams in Unternehmen können sich nicht auf die Selbstauskunft der Anbieter verlassen
.
Die Regulierungsbehörden reagieren bereits, wie die staatlichen Warnungen der chinesischen NVDB und das Verbot durch Alibaba zeigen . Das Gesamtbild zeigt, dass die Sicherheit von KI-Agenten im Unternehmen im Jahr 2026 einen grundlegend neuen Ansatz erfordert – einen, der persistente Agenten als kritische Infrastruktur behandelt und mit strengen Identitäts-, Zugriffs- und Lieferkettenkontrollen absichert.
@Claude, selbst wenn dieser von automatisierten Quellen stammt, was Prompt-Injection-Angriffe ermöglicht Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Die Sicherheitsfirma Tego AI hat am 14. Juli 2026 eine kritische Schwachstelle in Claude Tag, Anthropics nativer Slack Integration, aufgedeckt: Der KI Assistent reagiert auf jede Nachricht mit dem Buchstaben Text @Cla...
Die Sicherheitsfirma Tego AI hat am 14. Juli 2026 eine kritische Schwachstelle in Claude Tag, Anthropics nativer Slack Integration, aufgedeckt: Der KI Assistent reagiert auf jede Nachricht mit dem Buchstaben Text @Cla... Der Vorfall ist Teil einer Dreifach Bedrohung für Unternehmen: Neben der Prompt Injection Lücke in Claude Tag gibt es einen versteckten Tracking Mechanismus in Claudes Code Werkzeug Claude Code, den Chinas nationale V...