In einem bekannten KI-Protokoll wurde eine kritische Schwachstelle entdeckt, und das Unternehmen Anthropic erklärte, dass es nicht daran arbeiten werde.

Cyber‑Bedrohung im MCP-Protokoll: wie es aussieht und was zu tun ist

Wie sich das äußert
Ursprung der Schwachstelle
Forscher von OX Security haben einen architektonischen Fehler im Model Context Protocol (MCP) entdeckt.
Betroffene SDKs
Offizielle Bibliotheken für Python, TypeScript, Java und Rust.
Risikoumfang
Mehr als 150 Millionen Downloads und bis zu 200 tausend Serverinstanzen nutzen diese SDKs.
Antwort von Anthropic
Das Unternehmen erklärte, das Protokoll sei „verhaltensmäßig erwartbar“ und erfordere keine Änderungen.

Was ist MCP?
- Ein offener Standard, vorgestellt von Anthropic im Jahr 2024.
- Ermöglicht KI‑Modellen den Anschluss an externe Tools, Datenbanken und APIs.
- Im vergangenen Jahr wurde das Protokoll an die Agentic AI Foundation bei der Linux Foundation übergeben; derzeit nutzen OpenAI, Google und die meisten KI‑Tools es.

Wie funktioniert die Schwachstelle
1. STDIO‑Interface
- Anfragen werden direkt an den Ausführungs­punkt gesendet, ohne zusätzliche Prüfung.
2. Vererbung des Risikos
- Jeder Entwickler, der MCP nutzt, erbt automatisch diese Verwundbarkeit.

Mögliche Exploit‑Pfad (4 Familien)
Nr. Typ des Angriffs Was der Angreifer tut
1 Code‑Injektion in UI ohne Autorisierung Schreibt bösartigen Code, der automatisch ausgeführt wird.
2 Umgehung von Schutzmechanismen auf „geschützten“ Plattformen (Flowise) Nutzt die Schwachstelle, um eingebettete Sicherheitsmechanismen zu umgehen.
3 Bösartige Anfragen in IDE‑Umgebungen (Windsurf, Cursor) Führt Befehle ohne Benutzereinwirkung aus.
4 Verbreitung von Malware über MCP Publiziert schädlichen Code, der automatisch von anderen Nutzern heruntergeladen wird.

- Test: Forscher haben erfolgreich Payloads in 9 von 11 MCP‑Registern eingebracht und die Ausführung von Befehlen auf sechs kommerziellen Plattformen demonstriert.

Weitere gefundene Schwachstellen
Anwendung CVE Status
LiteLLM CVE‑2026‑30623 Geschlossen
Bisheng CVE‑2026‑33224 Geschlossen
Windsurf CVE‑2026‑30615 „Nachricht empfangen“ (lokale Codeausführung)
GPT Researcher, Agent Zero, LangChain‑Chatchat, DocsGPT – gleicher Status

Wie reagiert Anthropic
- Empfehlungen von OX Security:
- Beschränken Sie Anfragen ausschließlich auf das Manifest.
- Führen Sie eine Liste erlaubter Befehle im SDK ein.
- Unternehmensantwort: Ablehnung jeglicher Änderungen und keine Einwände gegen die Veröffentlichung der Schwachstelle.

Was gerade passiert
Ereignis Aktueller Stand
Leck von Mythos Anthropic führt interne Untersuchung durch.
Ausgabe des Claude‑Codes Frühere Lecks des Quellcodes des Dienstes.
MCP‑Management Übertragen an die Linux Foundation, aber Anthropic unterstützt weiterhin das SDK mit der Schwachstelle.

Was Entwickler tun sollten
- Bis das STDIO‑Interface geändert ist, müssen Sie selbst eine Eingabe­filterung implementieren.
- Prüfen Sie SDK-Versionen und aktualisieren Sie sie auf die neuesten Patches, sofern verfügbar.
- Erwägen Sie eigene Prüfmechanismen für Befehle und Einschränkungen auf Anwendungsebene.

Zusammenfassung:
Die Schwachstelle im MCP stellt eine ernsthafte Bedrohung für Millionen von Nutzern dar. Trotz der Ablehnung von Anthropic, das Protokoll zu ändern, müssen Entwickler Maßnahmen ergreifen, um ihre Systeme zu schützen, bis offizielle Korrekturen veröffentlicht werden.