Schwerwiegende Sicherheitslücke in KI-Infrastruktur

Eine Schwachstelle in Anthropics MCP könnte laut Forschern 200.000 Server gefährden

Bild: KI

Eine gravierende Sicherheitslücke im Model Context Protocol (MCP), einem zentralen Open-Source-Standard von Anthropic für KI-Agenten, sorgt derzeit für Unruhe in der IT-Sicherheitscommunity.

Nach Recherchen des Security-Anbieters OX Security sind bis zu 200.000 Server potenziell von einer vollständigen Übernahme bedroht – darunter zahlreiche produktive Systeme, die KI-Anwendungen mit externen Daten und Tools verbinden.

Was ist MCP?

Das Model Context Protocol (MCP) wurde von Anthropic 2024 als herstellerneutraler Standard eingeführt. Ziel war es, eine einheitliche Schnittstelle zu schaffen, über die KI-Modelle und KI-Agenten mit externen Systemen kommunizieren können – etwa mit Datenbanken, Docker-Containern, internen APIs oder Kollaborationstools wie Microsoft Teams.

MCP fungiert damit als Bindeglied zwischen KI-Modellen und realen IT-Systemen. Entwickler können darüber KI-Agenten bauen, die nicht nur Texte generieren, sondern aktiv auf Systeme zugreifen, Konfigurationen ändern oder Prozesse anstoßen. Entsprechend groß ist die Verbreitung: Laut OX Security umfasst das MCP-Ökosystem inzwischen rund 150 Millionen Downloads, etwa 7.000 öffentlich erreichbare Server und bis zu 200.000 potenziell verwundbare Instanzen.

Kein Bug, sondern ein Designproblem

Brisant ist vor allem: Bei der jetzt diskutierten Sicherheitslücke handelt es sich nicht um einen klassischen Implementierungsfehler, sondern um eine architektonische Designentscheidung im MCP-Standard selbst.

Konkret betrifft das die Art, wie MCP sogenannte STDIO-Adapter nutzt. Über diesen Mechanismus kann ein KI-Prozess lokal einen MCP-Server als Subprozess starten. Das Problem:
Das zugrundeliegende Ausführungsmodell erlaubt es, beliebige Betriebssystem-Kommandos auszuführen, noch bevor geprüft wird, ob tatsächlich ein gültiger MCP-Server gestartet wurde.

Das bedeutet: Scheitert der Start des vorgesehenen MCP-Servers, wird zwar ein Fehler zurückgegeben – der zuvor übergebene Befehl wird jedoch trotzdem ausgeführt. Nach Einschätzung der Forscher ermöglicht dieses Verhalten Remote Code Execution (RCE) und damit die vollständige Kompromittierung betroffener Systeme.

Vier Angriffswege, ein Ergebnis

OX Security identifiziert vier systematische Angriffspfade, die alle auf diese Designentscheidung zurückzuführen sind:

Betroffen sind laut den Forschern unter anderem verbreitete Frameworks wie LangFlow, Flowise, Upsonic sowie Entwicklungsumgebungen und KI-Assistenten wie Windsurf oder Claude Code.

Insgesamt wurden bislang zehn CVEs im Umfeld dieser Schwachstelle veröffentlicht, davon neun mit kritischem Schweregrad.

Anthropic: „Expected behavior“

Besonders kontrovers ist die Reaktion von Anthropic selbst. Der KI-Anbieter stuft das beschriebene Verhalten nicht als Bug ein, sondern als „expected behavior“ des Protokolls. Die Verantwortung für Absicherung und Eingabesanitierung liege demnach bei den Entwicklern, die MCP einsetzen.

Aus Sicht der Sicherheitsforscher ist genau das problematisch: Wer MCP nutzt, übernimmt das Risiko strukturell und oft unbewusst, da die Schwachstelle tief im Protokoll und in den offiziellen SDKs verankert ist.

Warum die Lücke so brisant ist

Die Tragweite der MCP-Schwachstelle geht weit über einen einzelnen Softwarefehler hinaus. Sie betrifft einen zentralen Baustein der KI-Lieferkette, auf dem zahlreiche Agenten, Plattformen und Automatisierungslösungen aufbauen.

Für Unternehmen bedeutet das:

MCP demonstriert damit exemplarisch, wie schnell sich architektonische Entscheidungen in KI-Ökosystemen zu systemischen Risiken entwickeln können – gerade dann, wenn Standards rasant verbreitet werden, ohne dass Sicherheitsmodelle mithalten.

Lesen Sie auf Seite 2, was Sie jetzt konkret tun sollten.

Einsatz von MCP sofort inventarisieren

Der erste und wichtigste Schritt ist Transparenz: Prüfen Sie, ob und wo MCP eingesetzt wird – direkt oder indirekt über Frameworks, Agenten oder Tools.

Besonders relevant sind KI-Frameworks mit Web-Oberflächen oder Integrationen in IDEs und Automatisierungsplattformen.

OX Security weist explizit darauf hin, dass viele Teams MCP unbewusst über SDKs nutzen. Ohne vollständige Übersicht lässt sich das Risiko nicht realistisch bewerten.

Öffentlich erreichbare MCP-Server absichern oder abschalten

Ein zentraler Befund der Forscher lautet: Öffentlich erreichbare MCP-Instanzen sind besonders gefährdet. Sicherheitsexperten empfehlen, MCP-Server nicht öffentlich zu exponieren, wenn es nicht zwingend nötig ist.

Falls sich das nicht vermeiden lässt und MCP-Server extern erreichbar sein müssen, sichern Sie und schränken Sie den Zugriff strikt ein über:

OX Security nennt explizit öffentlich zugängliche UI-basierte Frameworks als Angriffspunkt.

STDIO-Adapter kritisch prüfen – oder gezielt vermeiden

Der Kern der Schwachstelle liegt im STDIO-Mechanismus von MCP. Überprüfen Sie daher, ob STDIO-Adapter produktiv genutzt werden und – falls möglich – ersetzen Sie STDIO durch alternative Transportmechanismen. Die Alternative: STDIO nur in streng isolierten Umgebungen betreiben (Container, Sandbox, eingeschränkte Benutzerrechte)

Wichtig: Anthropic stuft dieses Verhalten als „expected“ ein – eine automatische Behebung auf Protokollebene ist daher nicht zu erwarten.

Konfigurationen und Prompt-Flows härten

Die Forscher zeigen, dass Angriffe auch über Prompt Injection und Konfigurationsänderungen erfolgen können – etwa in IDEs oder Coding-Assistenten wie Windsurf.

Konkret heißt das:

Prompt-Eingaben sollten nie ungeprüft in systemnahe Konfigurationen oder Prozessstarts fließen.

Betroffene Open-Source-Projekte und CVEs überwachen

Im Umfeld der MCP-Schwachstelle existieren bereits zehn veröffentlichte CVEs, neun davon mit kritischer Einstufung.

Unternehmen sollten:

OX Security betont, dass die Schwachstelle die gesamte KI-Lieferkette betrifft, nicht nur einzelne Produkte.

KI-Integrationen in Sicherheitsmodelle aufnehmen

Ein strukturelles Problem, das der Vorfall offenlegt: KI-Agenten und Protokolle wie MCP werden oft nicht wie klassische IT-Infrastruktur behandelt.

Empfehlung:

  1. KI nicht nur als Anwendung, sondern als potenziellen Systemzugang betrachten
  2. MCP und KI-Agenten explizit aufnehmen in

Gerade weil MCP Brücken zwischen LLMs und produktiven Systemen schlägt, ist das sicherheitsrelevant.