Schwerwiegende Sicherheitslücke in KI-Infrastruktur
Eine Schwachstelle in Anthropics MCP könnte laut Forschern 200.000 Server gefährden
Eine gravierende Sicherheitslücke im Model Context Protocol (MCP), einem zentralen Open-Source-Standard von Anthropic für KI-Agenten, sorgt derzeit für Unruhe in der IT-Sicherheitscommunity.
Nach Recherchen des Security-Anbieters OX Security sind bis zu 200.000 Server potenziell von einer vollständigen Übernahme bedroht – darunter zahlreiche produktive Systeme, die KI-Anwendungen mit externen Daten und Tools verbinden.
Was ist MCP?
Das Model Context Protocol (MCP) wurde von Anthropic 2024 als herstellerneutraler Standard eingeführt. Ziel war es, eine einheitliche Schnittstelle zu schaffen, über die KI-Modelle und KI-Agenten mit externen Systemen kommunizieren können – etwa mit Datenbanken, Docker-Containern, internen APIs oder Kollaborationstools wie Microsoft Teams.
MCP fungiert damit als Bindeglied zwischen KI-Modellen und realen IT-Systemen. Entwickler können darüber KI-Agenten bauen, die nicht nur Texte generieren, sondern aktiv auf Systeme zugreifen, Konfigurationen ändern oder Prozesse anstoßen. Entsprechend groß ist die Verbreitung: Laut OX Security umfasst das MCP-Ökosystem inzwischen rund 150 Millionen Downloads, etwa 7.000 öffentlich erreichbare Server und bis zu 200.000 potenziell verwundbare Instanzen.
Kein Bug, sondern ein Designproblem
Brisant ist vor allem: Bei der jetzt diskutierten Sicherheitslücke handelt es sich nicht um einen klassischen Implementierungsfehler, sondern um eine architektonische Designentscheidung im MCP-Standard selbst.
Konkret betrifft das die Art, wie MCP sogenannte STDIO-Adapter nutzt. Über diesen Mechanismus kann ein KI-Prozess lokal einen MCP-Server als Subprozess starten. Das Problem:
Das zugrundeliegende Ausführungsmodell erlaubt es, beliebige Betriebssystem-Kommandos auszuführen, noch bevor geprüft wird, ob tatsächlich ein gültiger MCP-Server gestartet wurde.
Das bedeutet: Scheitert der Start des vorgesehenen MCP-Servers, wird zwar ein Fehler zurückgegeben – der zuvor übergebene Befehl wird jedoch trotzdem ausgeführt. Nach Einschätzung der Forscher ermöglicht dieses Verhalten Remote Code Execution (RCE) und damit die vollständige Kompromittierung betroffener Systeme.
Vier Angriffswege, ein Ergebnis
OX Security identifiziert vier systematische Angriffspfade, die alle auf diese Designentscheidung zurückzuführen sind:
- Unauthentifizierte und authentifizierte Command Injection über öffentlich zugängliche Oberflächen von KI-Frameworks
- Umgehung bestehender Härtungsmaßnahmen, etwa Whitelists oder Eingabesanitierung
- Prompt-Injection-Angriffe bei KI-Entwicklungsumgebungen und Coding-Assistenten
- Command Injection über Netzwerk-Anfragen, ohne direkte Benutzerinteraktion
Betroffen sind laut den Forschern unter anderem verbreitete Frameworks wie LangFlow, Flowise, Upsonic sowie Entwicklungsumgebungen und KI-Assistenten wie Windsurf oder Claude Code.
Insgesamt wurden bislang zehn CVEs im Umfeld dieser Schwachstelle veröffentlicht, davon neun mit kritischem Schweregrad.
Anthropic: „Expected behavior“
Besonders kontrovers ist die Reaktion von Anthropic selbst. Der KI-Anbieter stuft das beschriebene Verhalten nicht als Bug ein, sondern als „expected behavior“ des Protokolls. Die Verantwortung für Absicherung und Eingabesanitierung liege demnach bei den Entwicklern, die MCP einsetzen.
Aus Sicht der Sicherheitsforscher ist genau das problematisch: Wer MCP nutzt, übernimmt das Risiko strukturell und oft unbewusst, da die Schwachstelle tief im Protokoll und in den offiziellen SDKs verankert ist.
Warum die Lücke so brisant ist
Die Tragweite der MCP-Schwachstelle geht weit über einen einzelnen Softwarefehler hinaus. Sie betrifft einen zentralen Baustein der KI-Lieferkette, auf dem zahlreiche Agenten, Plattformen und Automatisierungslösungen aufbauen.
Für Unternehmen bedeutet das:
- Angriffe können lateral durch KI-Integrationen auf interne Systeme übergreifen
- Betroffen sind potenziell Produktionsumgebungen, nicht nur Testsysteme
- Klassische Sicherheitsannahmen greifen nicht, weil die Schwachstelle im Standard selbst liegt
MCP demonstriert damit exemplarisch, wie schnell sich architektonische Entscheidungen in KI-Ökosystemen zu systemischen Risiken entwickeln können – gerade dann, wenn Standards rasant verbreitet werden, ohne dass Sicherheitsmodelle mithalten.
Lesen Sie auf Seite 2, was Sie jetzt konkret tun sollten.
Einsatz von MCP sofort inventarisieren
Der erste und wichtigste Schritt ist Transparenz: Prüfen Sie, ob und wo MCP eingesetzt wird – direkt oder indirekt über Frameworks, Agenten oder Tools.
Besonders relevant sind KI-Frameworks mit Web-Oberflächen oder Integrationen in IDEs und Automatisierungsplattformen.
OX Security weist explizit darauf hin, dass viele Teams MCP unbewusst über SDKs nutzen. Ohne vollständige Übersicht lässt sich das Risiko nicht realistisch bewerten.
Öffentlich erreichbare MCP-Server absichern oder abschalten
Ein zentraler Befund der Forscher lautet: Öffentlich erreichbare MCP-Instanzen sind besonders gefährdet. Sicherheitsexperten empfehlen, MCP-Server nicht öffentlich zu exponieren, wenn es nicht zwingend nötig ist.
Falls sich das nicht vermeiden lässt und MCP-Server extern erreichbar sein müssen, sichern Sie und schränken Sie den Zugriff strikt ein über:
- starke Authentifizierung
- Netzwerksegmentierung
- IP-Restriktionen
OX Security nennt explizit öffentlich zugängliche UI-basierte Frameworks als Angriffspunkt.
STDIO-Adapter kritisch prüfen – oder gezielt vermeiden
Der Kern der Schwachstelle liegt im STDIO-Mechanismus von MCP. Überprüfen Sie daher, ob STDIO-Adapter produktiv genutzt werden und – falls möglich – ersetzen Sie STDIO durch alternative Transportmechanismen. Die Alternative: STDIO nur in streng isolierten Umgebungen betreiben (Container, Sandbox, eingeschränkte Benutzerrechte)
Wichtig: Anthropic stuft dieses Verhalten als „expected“ ein – eine automatische Behebung auf Protokollebene ist daher nicht zu erwarten.
Konfigurationen und Prompt-Flows härten
Die Forscher zeigen, dass Angriffe auch über Prompt Injection und Konfigurationsänderungen erfolgen können – etwa in IDEs oder Coding-Assistenten wie Windsurf.
Konkret heißt das:
- KI-gestützte Entwicklungsumgebungen besonders absichern
- Änderungen an MCP-Konfigurationen:
- nur für vertrauenswürdige Benutzer
- versionieren
- überwachen
Prompt-Eingaben sollten nie ungeprüft in systemnahe Konfigurationen oder Prozessstarts fließen.
Betroffene Open-Source-Projekte und CVEs überwachen
Im Umfeld der MCP-Schwachstelle existieren bereits zehn veröffentlichte CVEs, neun davon mit kritischer Einstufung.
Unternehmen sollten:
- die eingesetzten Tools aktiv gegen bekannte CVEs prüfen
- Sicherheitsupdates und Patches sofort einspielen, sofern verfügbar
- sich nicht darauf verlassen, dass ein SDK „per se sicher“ ist
OX Security betont, dass die Schwachstelle die gesamte KI-Lieferkette betrifft, nicht nur einzelne Produkte.
KI-Integrationen in Sicherheitsmodelle aufnehmen
Ein strukturelles Problem, das der Vorfall offenlegt: KI-Agenten und Protokolle wie MCP werden oft nicht wie klassische IT-Infrastruktur behandelt.
Empfehlung:
- KI nicht nur als Anwendung, sondern als potenziellen Systemzugang betrachten
- MCP und KI-Agenten explizit aufnehmen in
- Threat Models
- Risikoanalysen
- Incident-Response-Pläne
Gerade weil MCP Brücken zwischen LLMs und produktiven Systemen schlägt, ist das sicherheitsrelevant.