Penetrationstester können seit Anfang 2026 Kali Linux per natürlicher Sprache steuern – einfach einen Prompt eintippen, und Claude AI übernimmt Nmap-Scans, Gobuster-Läufe oder Metasploit-Angriffe. Was nach einem Quantensprung für offensive Sicherheitstests klingt, hat eine unbequeme Kehrseite: Sensible Aufklärungsdaten verlassen dabei die eigene Infrastruktur und landen auf Anthropics Cloud-Servern. Gleichzeitig haben Sicherheitsforscher von Check Point Research mehrere kritische Schwachstellen in Claude Code aufgedeckt, die Remote-Code-Ausführung und API-Key-Diebstahl ermöglichen.
Dieser Artikel erklärt, wie die Integration technisch funktioniert, welche konkreten Datenschutz- und Sicherheitsrisiken entstehen – für Einzelpersonen ebenso wie für Unternehmen – und welche Maßnahmen sinnvoll sind, bevor man diese Kombination in echten Kundenprojekten einsetzt.
Wie Kali Linux und Claude AI zusammenarbeiten
Das Kali-Linux-Entwicklerteam hat im Februar 2026 einen offiziellen Workflow veröffentlicht, der drei Komponenten verbindet. Das Model Context Protocol (MCP) – ein offener Standard, den Anthropic 2024 veröffentlicht hat – fungiert als universelle Verbindungsschicht. Es ermöglicht Claude, externe Werkzeuge aufzurufen, Ergebnisse zu interpretieren und im selben Kontext weiterzuarbeiten. Wie das konkrete Setup und die unterstützten Tools im Detail aussehen, zeigt unser ausführlicher KI-Pentesting Praxisguide für Unternehmen.
Die Architektur besteht aus drei Schichten: Die UI-Schicht (Claude Desktop auf macOS oder Windows) nimmt den natürlichsprachlichen Prompt entgegen. Die Ausführungsschicht – ein Kali-Linux-System mit dem Paket mcp-kali-server – empfängt strukturierte Befehle und führt Sicherheitswerkzeuge aus. Die Intelligenzschicht (Claude Sonnet 4.5 in Anthropics Cloud) verarbeitet den Prompt, plant die Schritte und koordiniert die Werkzeugaufrufe.
In der Praxis bedeutet das: Ein Tester tippt „Port-Scan von scanme.nmap.org durchführen und prüfen, ob eine security.txt-Datei existiert" – und Claude übernimmt den Rest. Ein Sicherheitsforscher berichtete, eine vollständige Web-App-Prüfung in etwa 15 Minuten abgeschlossen zu haben – ein Prozess, der manuell zwei bis drei Stunden dauern würde. Das klingt verlockend. Aber genau in dieser Architektur steckt das Problem.
Das Kernproblem: Sensitive Daten in der Cloud
Was tatsächlich übertragen wird
Damit Claude AI die Pentest-Werkzeuge koordinieren kann, muss es die Ergebnisse sehen und interpretieren. Das bedeutet: Alle Scan-Ergebnisse – offene Ports, erkannte Dienste, gefundene Schwachstellen, Ziel-IP-Adressen, Hostname-Informationen – verlassen die lokale Kali-Umgebung und werden an Anthropics Cloud-Server übermittelt.
Das Kali-Team selbst weist in seiner Dokumentation explizit darauf hin, dass diese Methode nicht für alle Nutzer akzeptabel sei, und nennt Datenschutz als kritischen Vorbehalt. Für Engagements, die vollständige Offline-Ausführung oder strikte Anforderungen an den Datenverbleib erfordern, sei die Cloud-abhängige Architektur in ihrer aktuellen Form nicht geeignet.
Was das für Unternehmen bedeutet
Für Entscheider: Wer als Dienstleister Penetrationstests für Kunden durchführt, schließt in der Regel vertragliche Vertraulichkeitsvereinbarungen. Erkenntnisse über die Zielsysteme – welche Ports offen sind, welche Dienste laufen, welche Schwachstellen existieren – sind schutzbedürftige Informationen. Werden diese automatisch an einen US-amerikanischen Cloud-Anbieter übertragen, ohne dass der Auftraggeber darüber informiert wurde und zugestimmt hat, entsteht ein ernstes rechtliches Problem.
Unter der DSGVO (Datenschutz-Grundverordnung) gilt: Personenbezogene Daten dürfen nur mit Rechtsgrundlage in Drittstaaten übertragen werden. Auch wenn Scan-Ergebnisse nicht immer direkt personenbezogen sind, können IP-Adressen von Kundensystemen als solche eingestuft werden. Anthropic ist ein US-Unternehmen – die Datentransfer-Frage ist nicht trivial. Einen umfassenden Überblick über DSGVO-konforme KI-Governance-Frameworks für Unternehmen bietet unser Whitepaper zu Enterprise RAG-Architekturen und Compliance.
Hinzu kommt: Viele Unternehmen in regulierten Branchen (Banken, Gesundheitswesen, kritische Infrastruktur) unterliegen besonderen Anforderungen an die Datensouveränität. Hier ist eine Cloud-basierte KI-Schicht im Pentest-Workflow schlicht nicht genehmigungsfähig – unabhängig von der Effizienz.
Sicherheitslücken: Was Check Point Research aufgedeckt hat
Parallel zur Kali-Integration haben Sicherheitsforscher von Check Point Research im Februar 2026 drei kritische Schwachstellen in Anthropics Claude Code veröffentlicht. Alle Lücken wurden inzwischen gepatcht, aber sie illustrieren das grundsätzliche Risikoprofil von KI-gestützten Sicherheitswerkzeugen.
CVE-2025-59356 – Schadcode durch Hooks (CVSS 8.7)
Claude Code erlaubt es, sogenannte „Hooks" in Projektkonfigurationsdateien zu definieren – Skripte, die automatisch an bestimmten Punkten im Workflow ausgeführt werden. Check Point zeigte, dass ein Angreifer mit Zugriff auf ein Repository eine bösartige Hook-Konfiguration einschleusen kann. Öffnet ein Entwickler anschließend dieses Projekt, werden die Schadkommandos ohne Rückfrage ausgeführt – mit allen Privilegien des Nutzers.
CVE-2025-59536 – MCP-Server-Umgehung (CVSS 8.7)
Über die Konfigurationsdatei .mcp.json ließ sich die Nutzerbestätigung für externe MCP-Server umgehen. Durch das Setzen von enableAllProjectMcpServers: true in der Repository-Konfiguration konnten Angreifer MCP-Server aktivieren und Kommandos ausführen, bevor der Nutzer überhaupt eine Warnung zu sehen bekam.
CVE-2026-21852 – API-Key-Exfiltration (CVSS 5.3)
Die gravierendste Lücke aus Datenschutzsicht: Ein manipuliertes Repository konnte den ANTHROPIC_BASE_URL-Parameter auf einen vom Angreifer kontrollierten Server umleiten. Beim nächsten Öffnen des Projekts wurden alle API-Kommunikationen – inklusive des Anthropic API-Schlüssels – an diesen Server weitergeleitet, bevor der Nutzer irgendeine Interaktion vorgenommen hatte. Anthropic hat alle drei Lücken vor der Veröffentlichung behoben.
Weitere Angriffsvektoren im MCP-Ökosystem
Im Januar 2026 wurden drei CVEs gegen Anthropics offiziellen Git-MCP-Server veröffentlicht (CVE-2025-68143, CVE-2025-68144, CVE-2025-68145), die Path-Traversal-Angriffe und Argument-Injection ermöglichen. Forscher von Invariant Labs und CyberArk haben zudem sogenannte „Tool Poisoning"-Angriffe dokumentiert: Bösartige Anweisungen, die in Werkzeugbeschreibungen oder Befehlsausgaben eingebettet sind, können das Verhalten des Sprachmodells manipulieren – ohne dass der Nutzer die entsprechende Aktion explizit ausgelöst hat. Diese Angriffskategorie ist Teil eines größeren Vertrauensproblems, das wir in unserem Artikel zu Agent Trust Signals und KI-Sicherheitsframeworks ausführlich behandeln.
Red Hat bestätigt in seiner MCP-Sicherheitsanalyse, dass Prompt Injection im Kontext von aktionsausführenden Modellen wesentlich gefährlicher ist als bei reinen Textgeneratoren. Für den Kali-Workflow bedeutet das: Ein manipuliertes Scan-Ergebnis – etwa durch einen kompromittierten Zielserver, der gezielt präparierte HTTP-Antworten zurückliefert – könnte Claude zu unerwarteten Aktionen veranlassen.
Risikobewertung: Für wen ist die Integration vertretbar?
Geeignet – mit Einschränkungen
Wer in einer isolierten Testumgebung arbeitet, keine realen Kundendaten verarbeitet und sich über die Cloud-Übertragung im Klaren ist, kann von der Produktivitätssteigerung profitieren. CTF-Wettbewerbe (Capture the Flag) oder interne Lab-Umgebungen ohne Vertraulichkeitsanforderungen sind legitime Einsatzbereiche. Für Unternehmen mit geringen Compliance-Anforderungen kommen auch interne Red-Team-Übungen an eigener Infrastruktur in Betracht, bei denen alle Beteiligten informiert sind.
Nicht geeignet
Sobald Kundendaten im Spiel sind, fehlt ohne ausdrückliche Zustimmung des Auftraggebers die Rechtsgrundlage für die Cloud-Übertragung. Banken, Versicherungen, Gesundheitseinrichtungen und Betreiber kritischer Infrastrukturen unterliegen Anforderungen, die eine unkontrollierte Datenweitergabe an US-Cloud-Dienste ausschließen. Wenn der Pentest-Vertrag keine explizite Genehmigung für KI-Werkzeuge mit Cloud-Anbindung enthält, bewegt man sich rechtlich in einer Grauzone.
Was Unternehmen und Profis jetzt tun sollten
Für Entscheider: Wer KI-gestützte Pentest-Werkzeuge evaluiert, sollte als erstes klären, welche Daten die Werkzeuge in die Cloud übertragen, unter welcher Rechtsgrundlage das geschieht und ob Auftraggeber-Verträge entsprechende Klauseln erfordern. Diese Fragen gehören in die Vendor-Assessment-Checkliste.
Für IT-Teams: Red Hat und Fluid Attacks empfehlen für jeden MCP-basierten KI-Workflow: Least-Privilege-Prinzip beim MCP-Server-Zugriff, Validierung aller Eingaben und Ausgaben, obligatorische menschliche Freigabe für risikoreiche Kommandos sowie unveränderliche Audit-Logs für alle Ausführungen. Wer Claude Code einsetzt, sollte außerdem sicherstellen, dass mindestens Version 2.0.65 installiert ist – ältere Versionen sind für CVE-2026-21852 anfällig.
Für Anwender: Niemals mcp-kali-server oder ähnliche MCP-Bridges in unbekannten oder nicht vertrauenswürdigen Repositories aktivieren. Konfigurationsdateien wie .mcp.json und .claude/settings.json sind heute Ausführungscode – sie verdienen dieselbe Prüfung wie jedes andere Skript.
Fazit: Innovation ja, aber mit offenen Augen
Die Integration von Claude AI in Kali Linux ist technisch beeindruckend und produktiv. Sie verschiebt aber das Bedrohungsmodell in zwei Richtungen gleichzeitig: Erstens verlassen sensible Reconnaissance-Daten die eigene Kontrolle. Zweitens entstehen neue Angriffsflächen durch KI-gesteuerte Automatisierung, die traditionelle Sicherheitsmodelle nicht berücksichtigen.
Das Kali-Team hat das klar kommuniziert – diese Integration ist eine Methode, nicht die Methode. Wer sie einsetzt, trägt die Verantwortung, die Datenschutz- und Sicherheitsimplikationen vollständig zu verstehen und transparent mit Auftraggebern umzugehen. Für Unternehmen, die KI ernsthaft in ihre Sicherheits-Workflows integrieren wollen, führt mittelfristig kein Weg an lokalen oder datenschutzkonformen Deployment-Optionen vorbei.
Nächster Schritt: Prüfe, ob deine aktuellen Pentest-Werkzeuge und KI-Integrationen in deiner Tool-Inventur als „Cloud-verbunden" klassifiziert sind. Wenn nicht, ist jetzt der richtige Zeitpunkt, das nachzuholen.
