Das Model Context Protocol (MCP) ist Anthropics offener Standard, über den KI-Modelle mit externen Tools und Datenquellen kommunizieren. Es ist die Brücke zwischen Claude und der realen Welt — und genau in dieser Brücke klafft jetzt ein riesiges Loch.
Das Problem: Beliebige Befehle ausführen
Das Sicherheitsteam von OX Security hat eine architektonische Schwachstelle im STDIO-Mechanismus des MCP entdeckt. Im Klartext: Über den Standard-Input/Output-Kanal lassen sich beliebige Betriebssystem-Befehle ausführen. Wer einen verwundbaren MCP-Server erreicht, kann auf sensible Nutzerdaten, interne Datenbanken, API-Keys und Chat-Verläufe zugreifen.
Die Zahlen sind beeindruckend — im schlechten Sinn: Rund 200.000 Server sind betroffen, Softwarepakete mit insgesamt über 150 Millionen Downloads über Python, TypeScript, Java und Rust hinweg.
Vier Angriffsvektoren, neun von elf Marktplätzen vergiftet
Die Forscher haben vier verschiedene Angriffsfamilien identifiziert:
Erstens: Unauthentifizierte Befehlsinjektion in beliebten KI-Frameworks wie LangFlow und GPT Researcher. Zweitens: Umgehung von Sicherheitsmechanismen in vermeintlich geschützten Umgebungen wie Flowise. Drittens: Zero-Click Prompt Injection in führenden KI-IDEs — betroffen sind unter anderem Windsurf und Cursor. Viertens: Vergiftung von MCP-Marktplätzen. Von elf getesteten Marktplätzen akzeptierten neun bösartige Einreichungen.
Das ist kein Edge Case. Das ist ein systemisches Problem.
Anthropics Antwort: ‘Erwartetes Verhalten’
Und hier wird es wirklich interessant. Anthropic lehnte es ab, die Architektur des Protokolls zu ändern. Die offizielle Begründung: Das Verhalten sei ‘erwartet’. Eine Woche nach dem ersten Report aktualisierte Anthropic leise seine Sicherheitsrichtlinien mit der Empfehlung, bei STDIO-Adaptern vorsichtig zu sein.
Die Forscher bei OX Security kommentierten das trocken: “Das hat nichts gefixt.”
Was du tun kannst
Wenn du MCP-Server betreibst oder MCP-basierte Tools nutzt: Prüfe deine Konfiguration. Setze auf authentifizierte Verbindungen statt STDIO wo möglich. Und halte die Augen offen für Updates — denn auch wenn Anthropic das Problem herunterspielt, wird die Community es nicht ignorieren.
Die Ironie ist offensichtlich: Anthropic hat mit Mythos gerade der Welt gezeigt, wie ernst Cybersicherheit zu nehmen ist. Und gleichzeitig sagt das Unternehmen über die Sicherheitslücke in seinem eigenen Protokoll: ‘Erwartetes Verhalten.’
Quellen: