SchwachstellenCloud-SicherheitKI-Sicherheit

Kritische Designschwachstelle im Model Context Protocol gefährdet KI-Lieferkette

Kritische Designschwachstelle im Model Context Protocol gefährdet KI-Lieferkette
Zusammenfassung

Ein fundamentales Sicherheitsproblem in Anthropics Model Context Protocol (MCP) gefährdet die gesamte AI-Supply-Chain und könnte Millionen deutscher Nutzer und Unternehmen treffen. Forscher von OX Security haben eine kritische "by Design" angelegte Schwachstelle entdeckt, die Remote Code Execution (RCE) ermöglicht und damit Angreifern uneingeschränkten Zugriff auf sensitive Daten, interne Datenbanken, API-Schlüssel und Chat-Verlauf gewährt. Das Problem betrifft über 7.000 öffentlich erreichbare Server und Software-Pakete mit mehr als 150 Millionen Downloads, einschließlich populärer Frameworks wie LiteLLM, LangChain und LangFlow. Besonders besorgniserregend ist, dass die Schwachstelle in Anthropics offiziellem SDK für alle unterstützten Programmiersprachen (Python, TypeScript, Java, Rust) vorhanden ist. Für deutsche Unternehmen und Behörden, die AI-Tools zur Datenverarbeitung und Automatisierung nutzen oder entwickeln, stellt dies ein erhebliches Risiko dar. Während einzelne Anbieter Patches veröffentlicht haben, weigert sich Anthropic, die Protokoll-Architektur zu ändern, was die Anfälligkeit im Referenz-Standard perpetuiert und Entwickler dazu bringt, das Sicherheitsrisiko ungewollt zu erben.

Die Schwachstelle liegt in den unsicheren Standardeinstellungen der MCP-Konfiguration über die STDIO-Schnittstelle (Standard Input/Output). Forscher zeigen: Das Protokoll führt praktisch zu einer direkten Umwandlung von Konfigurationsdaten in Befehlsausführung auf dem Betriebssystem. Obwohl die ursprüngliche Intention war, einen lokalen STDIO-Server zu starten, ermöglicht die Implementierung es Angreifern, beliebige Befehle auszuführen.

Wie funktioniert der Angriff? Der Mechanismus ist simpel aber gefährlich: Wenn ein erfolgreicher Befehl einen STDIO-Server erstellt, erhält der Angreifer einen Handle. Scheitert der Befehl, erhält er zwar eine Fehlermeldung — aber der Befehl wurde bereits ausgeführt. Dies ermöglicht blind code execution ohne erkennbares Feedback.

Die Sicherheitsforscher Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok und Roni Bar haben insgesamt zehn Sicherheitslücken dokumentiert, die in vier Kategorien fallen. Unabhängig davon wurden ähnliche Schwachstellen in CVE-2025-49596 (MCP Inspector), CVE-2026-22252 (LibreChat), CVE-2026-22688 (WeKnora), CVE-2025-54994 (@akoskm/create-mcp-server-stdio) und CVE-2025-54136 (Cursor) gemeldet.

Besonders kritisch ist die Reaktion von Anthropic: Das Unternehmen bewertet das Verhalten als «expected» und verweigert eine Änderung der Protokollarchitektur. Während einzelne Anbieter Patches bereitgestellt haben, bleibt die Schwachstelle in Anthropics MCP-Referenzimplementierung ungelöst. Dies zwingt Entwickler, das Code-Execution-Risiko zu erben.

Das ist nicht einfach ein einzelnes CVE-Problem, sondern ein Supply-Chain-Event. Wie OX Security betont: Eine einzelne Designentscheidung bei Anthropic propagierte sich stillschweigend in jede Programmiersprache, jede abhängige Bibliothek und jedes Projekt, das dem Protokoll vertraute.

Für Gegenmaßnahmen empfehlen Experten: öffentliche IP-Zugriffe auf sensitive Services blockieren, MCP-Tool-Aufrufe überwachen, MCP-Services in Sandboxen ausführen, externe MCP-Konfigurationseingaben als untrusted behandeln und MCP-Server nur aus verifizierten Quellen installieren. Deutsche Unternehmen sollten ihre KI-Integrationen überprüfen und diese Sicherheitsmaßnahmen sofort implementieren.

Ähnliche Artikel