MCP wurde von Anthropic im November 2024 vorgestellt und gilt als standardisierter Verbinder zwischen Agenten und Daten. Unternehmen nutzen es lokal, um den Aufwand eigener Konnektoren zu vermeiden; verbreitet ist insbesondere der Einsatz als lokaler STDIO-MCP-Server. Es gibt mehrere Anbieter solcher Server, die fast alle auf Anthropics Code aufbauen — und damit laut OX Security auch den beschriebenen Fehler erben.

Den Kern des Problems beschreibt OX so: Die STDIO-Schnittstelle soll einen lokalen Serverprozess starten, führt den Befehl aber aus, gleich ob der Prozess erfolgreich anläuft oder nicht. „Übergeben Sie einen bösartigen Befehl, erhalten Sie eine Fehlermeldung — und der Befehl läuft trotzdem", so OX. Es gebe keine Warnungen zur fehlenden Bereinigung und keine Auffälligkeiten in der Entwicklungs-Toolchain.

Nach eigenen Angaben hat OX ausführlich geprüft, ob sich der Fehler ausnutzen lässt, dabei wiederholt Erfolg gehabt und die Ergebnisse an die MCP-Anbieter offengelegt — angefangen bei Anthropic. Anfangs habe es kaum Reaktionen gegeben; später sei der Tenor Untätigkeit gewesen, verbunden mit dem Hinweis, das Verhalten sei „by design", also so beabsichtigt.

OX hält dem entgegen, dass sich dieses beabsichtigte Verhalten leicht ausnutzen lasse. Enthalte der fehlgeschlagene Prozess Schadsoftware, könne diese unbemerkt installiert werden, was bis zur vollständigen Systemübernahme führen könne. Als einzige erkennbare Maßnahme habe Anthropic seine Sicherheitshinweise still aktualisiert und empfehle nun, MCP-Adapter „mit Vorsicht" zu verwenden — womit der Fehler bestehen bleibe und die Verantwortung auf die Entwickler verlagert werde.

OX verweist darauf, dass die Installation bei GitHub eine Ausnahme in den Tests bildete, was zeigt, dass eine Sicherheitsabsicherung bei der Installation grundsätzlich möglich ist. Zugleich belege die hohe Zahl erfolgreicher Kompromittierungen, dass Entwickler MCP-Server vielfach nicht sicher installieren.

Die Position von OX ist, dass Anthropic die Verantwortung übernehmen und den Architekturfehler selbst beheben sollte. Andernfalls bleibe die Branche für „die Mutter aller Lieferkettenangriffe" offen, die bei Anthropic beginne, sich auf Tausende lokale MCP-Nutzer ausweite und von dort auf weitere Systeme übergreifen könne. Die aktuelle Umsetzung des Protokolls lege die gesamte Sicherheitslast auf den nachgelagerten Entwickler — ein struktureller Mangel, der Verwundbarkeit im großen Maßstab garantiere.

Im Rahmen einer koordinierten Offenlegung kam OX nach eigenen Angaben auf mehr als 30 angenommene Meldungen und mehr als zehn behobene Schwachstellen mit hohem oder kritischem Schweregrad. Der zugrunde liegende Designfehler bestehe jedoch fort. Als Lösungswege nennt OX, unbereinigte STDIO-Verbindungen abzukündigen, ein Befehls-Sandboxing auf Protokollebene einzuführen, einen ausdrücklich zu aktivierenden „dangerous mode" vorzusehen und Verifizierungsstandards für Marktplätze samt einem standardisierten Sicherheits-Manifest zu entwickeln.