Sicherheitsforscher schlagen Alarm: Eine grundlegende architektonische Schwachstelle in Anthropics Model Context Protocol könnte zur größten Supply-Chain-Attacke der KI-Geschichte werden. Das Protokoll wurde entwickelt, um Entwicklern die schnelle Integration von KI-Agenten mit Datenquellen zu ermöglichen – ohne dass jedes Unternehmen eigene komplexe Verbinder programmieren muss. Seit November 2024 ist es weit verbreitet und wird von fast allen MCP-Server-Providern verwendet.
Die von OX Security identifizierte Lücke basiert auf einem grundsätzlichen Design-Problem: Der STDIO-Interface von MCP führt Befehle aus, ohne zu überprüfen, ob der Prozess erfolgreich gestartet wurde. Ein Angreifer kann einfach Malware-Befehle einschleusen, erhält zwar eine Fehlermeldung – aber der Befehl wird trotzdem ausgeführt. Es gibt keine Warnungen, keine Validierung, keine roten Flaggen in der Entwickler-Toolchain.
OX Security hat diese Verwundbarkeit extensiv getestet und ist dabei überraschend oft erfolgreich gewesen. Die Forscher identifizierten über 30 praktische Exploits und über 10 kritische Schwachstellen bei verschiedenen MCP-Providern. Sie leiteten eine koordinierte Disclosure ein und kontaktierten Anthropic sowie die anderen Entwickler. Die Antwort war ernüchternd: Anthropic stufte das Verhalten als beabsichtigt ein (“by Design”) und aktualisierte lediglich seine Sicherheitsrichtlinien mit einer vagen Warnung, MCP-Adapter “mit Vorsicht” zu verwenden. Die eigentliche Schwachstelle bleibt bestehen.
Das ist problematisch, denn es verschiebt die Verantwortung auf die Entwickler – gerade zu einem Zeitpunkt, in dem KI-Systeme automatisiert viele Sicherheitsaufgaben übernehmen und die erforderliche Sicherheitskompetenz bei Entwicklern senkt. GitHub hat gezeigt, dass sichere Installation möglich ist, doch die Mehrheit der Entwickler implementiert offenbar nicht mit diesem Standard.
OX Security fordert Anthropic auf, das architektonische Problem selbst zu beheben. Der Sicherheitsforschungsverbund schlägt konkrete Maßnahmen vor: Deprecated unsanitized STDIO-Verbindungen, Protocol-Level-Command-Sandboxing, ein explizites “Dangerous Mode”-Opt-in und Marketplace-Verifikationsstandards mit Sicherheitsmanifesten.
Die Warnung ist deutlich: Unternehmen, die STDIO MCP als Teil ihrer agentic AI verwenden, sollten dies derzeit “mit Vorsicht” tun. Die Lücke zeigt grundsätzliche Probleme bei der Sicherheit von KI-Infrastrukturen, die bei wachsendem Einsatz autonomer Agenten kritisch werden könnten.