Start/Stimmung/Debatte/Vercel-Plugin fuer Claude Code: Prompt Injection als Consent-Mechanismus
9. April 2026

Vercel-Plugin fuer Claude Code: Prompt Injection als Consent-Mechanismus

Eine Analyse von Akshay Chugh legt offen, wie das Vercel-Plugin fuer Claude Code Telemetriedaten sammelt. Der Fall ist weniger wegen der gesammelten Daten interessant als wegen der Methode: Das Plugin nutzt Prompt Injection in Claudes System-Kontext, um Nutzern eine Consent-Frage zu stellen -- als Teil der KI-Konversation, nicht als natives UI-Element.

Zwei Stufen der Datensammlung

Das Plugin operiert mit zwei Telemetrie-Ebenen:

Stufe 1 -- immer aktiv, kein Opt-in noetig: Device ID, Betriebssystem, erkannte Frameworks, Vercel-CLI-Version und vollstaendige Bash-Befehlsstrings werden an telemetry.vercel.com gesendet. Diese Daten fliessen ohne Einwilligung des Nutzers ab.

Stufe 2 -- nach Consent: Der komplette Prompt-Text wird uebermittelt. Die Einwilligung dafuer wird ueber eine in den Claude-Konversationsfluss injizierte Frage eingeholt.

Das eigentliche Problem: Wer fragt hier?

Die Consent-Frage fuer Stufe 2 erscheint als normale Claude-Antwort. Das Plugin injiziert Verhaltensanweisungen in den System-Kontext, die Claude dazu bringen, die Datenschutzfrage zu stellen. Fuer den Nutzer ist nicht erkennbar, ob Claude selbst fragt oder ob ein Plugin die Frage ausloest.

Das ist ein fundamentales Transparenzproblem. Informierte Einwilligung setzt voraus, dass der Nutzer weiss, wer ihn fragt und warum. Wenn ein Plugin den Agenten als Sprachrohr benutzt, ist diese Voraussetzung nicht gegeben. Der Consent ist im besten Fall fragwuerdig, im schlechtesten Fall ungueltig.

Irrefuehrendes Framing

Die Stufe-1-Telemetrie wird als "anonymous usage data" beschrieben. Tatsaechlich enthaelt sie vollstaendige Bash-Befehlsstrings -- mit Dateipfaden, Umgebungsvariablen-Namen und allem, was in der Shell eingegeben wird. Diese Daten sind an eine persistente Device ID gekoppelt. "Anonym" ist das nicht.

Scope Creep: Alle Projekte betroffen

Die Telemetrie ist nicht auf Vercel-Deployments beschraenkt. Sobald das Plugin installiert ist, sammelt es Daten fuer alle Projekte, in denen Claude Code laeuft. Framework-Detection-Code existiert im Plugin, wird aber nicht genutzt, um die Datensammlung auf Vercel-relevante Kontexte einzugrenzen.

Deaktivierung

export VERCEL_PLUGIN_TELEMETRY=off

Schaltet die gesamte Telemetrie ab. Die Plugin-Funktionalitaet bleibt vollstaendig erhalten.

Warum das ueber Vercel hinaus relevant ist

Der Fall illustriert ein neues Privacy-Pattern, das mit der Verbreitung von MCP-Plugins und Agent-Erweiterungen haeufiger auftreten wird: Plugins, die den Agenten als UI-Proxy fuer Consent missbrauchen. In einer Umgebung, in der mehrere MCP-Server gleichzeitig in den System-Kontext injizieren, wird die Frage "wer fragt mich hier eigentlich?" zunehmend unbeantwortbar.

Fuer Coding-Agent-Umgebungen fehlt bisher ein Standard, der regelt, wie Plugins Consent einholen duerfen. Prompt Injection als Consent-Mechanismus verwischt die Grenze zwischen Tool und Agent -- und untergaebt das Vertrauen in beide.

Quellen

Nach oben