Victor Moussa | shutterstock.com
Der quelloffene Standard Model Context Protocol (MCP) lässt KI-Systeme ohne Integrationsaufwand mit einer Vielzahl von Datenquellen, Tools und Diensten interagieren. Und schafft damit unter anderem die Grundlage für Agentic AI. Unternehmen, die MCP-Server als Teil ihrer KI-Strategien einsetzen möchten, sollten sich jedoch auch der damit verbundenen Risiken bewusst sein.
Deshalb haben wir in diesem Artikel die zehn größten Schwachstellen in Zusammenhang mit Model Context Protocol für Sie zusammengestellt.
1. Cross-Tenant-Datenlecks
Ähnlich wie bei Cross-Site-Scripting-Angriffen ermöglicht eine Tenant-übergreifende Datenoffenlegung es einer Gruppe von Benutzern, auf Daten anderer User zuzugreifen. Das kann interne Teams oder auch Geschäftspartner und Kunden betreffen. Die Tatsache, dass diese Schwachstelle bereits in der MCP-Server-Implementierung von Asana entdeckt wurde, sollte ein Warnsignal darstellen.
Laut den Forschern von UpGuard, die das Problem beim Tool-Anbieter eingehend analysiert haben, besteht die Lösung darin, sicherzustellen, dass MCP-Server eine strikte Mandantentrennung durchsetzen. Außerdem sollte beim Zugriff das Least-Privilege-Prinzip angewendet werden.
2. Versteckte Prompt Injection
Ein Angreifer, der sich als Mitarbeiter, Geschäftspartner oder Kunde ausgibt, sendet eine Anfrage an einen menschlichen Support-Mitarbeiter. Diese enthält jedoch einen versteckten Prompt mit Anweisungen, die nur die KI lesen kann. Leitet der Support-Mensch den Request dann einen KI-Assistenten weiter, der über seine Verbindung zum MCP-Server auf sensible Daten und Geschäftsprozesse zugreifen kann, droht erheblicher Schaden.
Um diese Schwachstelle zu schließen, empfiehlt es sich für Unternehmensanwender:
für KI-Interaktionen das Least-Privilege-Prinzip durchzusetzen,
Prompts in Echtzeit auf verdächtige Inhalte zu analysieren, und
Audit-Protokolle aller MCP-Aktivitäten zu führen.
3. Tool Poisoning
Einen MCP-Server einzurichten, kann diffizil sein. Auch deshalb steht eine Vielzahl “schlüsselfertiger” MCP-Server zum Download bereit. Allerdings sollten Anwender davon absehen, einfach den erstbesten herunterzuladen, den die Google-Suche ausspuckt. Denn handelt es sich dabei um ein maliziöses Exemplar, ist möglicherweise das Beschreibungsfeld des MCP-Servers manipuliert, um Informationen aus anderen Systemen zu extrahieren – und dabei parallel Encryption- und Security-Maßnahmen zu umgehen. Dieses Vorgehen demonstriert etwa der Sicherheitsanbieter Invariant Labs am Beispiel von WhatsApp im Rahmen eines Blogbeitrags.
Aber nicht nur das Beschreibungsfeld des MCP-Servers kann bösartige Anweisungen enthalten. Die Angriffsfläche erstreckt sich auf sämtliche Informationen, die von MCP-Servern generiert werden. Darunter etwa:
Funktionsnamen,
Parameter,
Parameter-Standardwerte,
Fehlermeldungen,
Follow-Up-Prompts, oder
erforderliche Felder und Typen.
Um das zu verhindern, sollten Unternehmen im ersten Schritt prüfen, ob die Download-Quelle vertrauenswürdig ist. Im nächsten Schritt empfiehlt es sich dann, die angeforderten Berechtigungen zu überprüfen. Ein MCP-Server, der Cat Content bereitstellen soll, benötigt keinen Zugriff auf Ihr Dateisystem. Überprüfen Sie schließlich, wenn möglich auch den Quellcode. Das kann Schwierigkeiten aufwerfen – weswegen sich Hilfestellungen empfehlen. Etwa in Form des “MCP Server Security Hub“, den der Sicherheitsanbieter BackSlash bereitstellt.
Darüber hinaus sollten sich Anwender bewusst sein, dass es nicht ausreicht, einen MCP-Server nur einmal bei der Installation zu überprüfen. Schließlich könnten Angreifer auch die Softwarelieferkette ins Visier nehmen und legitime Packages nachträglich mit Schadcode verseuchen – wie ein Blogbeitrag von CyberArk nahelegt.
4. “Offene” Prompt Injection
Bösartige Prompts müssen nicht versteckt sein: Es ist auch möglich, KI-Agenten dazu zu bringen, Daten preiszugeben oder Schadcode über ein vertrauenswürdiges MCP-Server-System auszuführen – einfach, indem die Prompt Injection auf eine öffentlich verfügbare Plattform verlagert wird.
Wie sich das bewerkstelligen lässt, haben die Forscher von Variant Labs am Beispiel eines GitHub-MCP-Servers demonstriert. Dabei erstellt ein Angreifer ein neues “Issue” in einem öffentlichen Repository – inklusive Prompt Injection. Unternehmen, die KI-Agenten einsetzen, um beispielsweise alle offenen Probleme in diesem Repository zu überprüfen, tappen dann in die Falle: Der Agent verarbeitet den bösartigen Prompt – beispielsweise eine Anweisung, sämtliche privaten Daten in einem anderen, privaten GitHub-Repository zu sammeln, auf das er über denselben MCP-Server Zugriff hat. Der GitHub-Server selbst wird dabei nicht kompromittiert. Er dient lediglich als Kanal, um den Angriff auszuführen.
Ein Gegenmittel wäre es, sämtliche Tool-Aufrufe durch den menschlichen Benutzer bestätigen zu lassen. Allerdings sieht die Praxis in vielen Fällen ganz anders aus, wie die Invariant-Forscher in ihrem Blogbeitrag schreiben: “Viele User sind mit Blick auf KI-Agenten bereits auf eine ‚Always Allow‘-Richtlinie umgestiegen und überprüfen individuelle Aktionen nicht mehr.”
5. Token-Diebstahl
Werden OAuth-Token unverschlüsselt in den Konfigurations- oder Code-Dateien des MCP-Servers gespeichert, können sie gestohlen werden. Dazu könnten Angreifer etwa eine Backdoor, Social Engineering und andere Methoden nutzen. Fallen die Authentifizierungs-Token Angreifern in die Hände, können diese damit eigene MCP-Serverinstanzen erstellen, wie aus einem Blogbeitrag von Pillar Security hervorgeht.
“Im Gegensatz zu herkömmlichen Kontoübernahmen kann die Verwendung eines gestohlenen Token über MCP wie ein legitimer API-Zugriff erscheinen – was die Erkennung erschwert”, warnen die Sicherheitsexperten. Geht es dabei beispielsweise um ein Gmail-Konto, könnten Cyberkriminelle auf diese Art und Weise auf den gesamten Email-Verlauf zugreifen, vermeintlich legitime E-Mails versenden, Daten löschen, sensible Informationen extrahieren oder Weiterleitungsregeln einrichten, um die zukünftige Kommunikation zu überwachen.
6. Composability Chaining
MCP-Server von Drittanbietern ungeprüft einzusetzen, ist wie bereits erwähnt keine gute Idee. Die müssen dabei nicht unbedingt selbst manipuliert sein, sondern senden unter Umständen Anfragen an einen zweiten Remote-Server. Diesen MCP-Angriffsvektor bezeichnen die Experten von CyberArk als “Composability Chaining“.
Dieser zweite MCP-Server könnte auf den ersten Blick legitime Outputs liefern, die allerdings mit versteckten, bösartigen Prompts “gespickt” sind. Diese kombiniert der erste MCP-Server mit seinen eigenen Outputs und leitet alles zusammen an den KI-Agenten weiter – der die Anweisungen dann ausführt. Sind sensible Daten in den Umgebungsvariablen enthalten, können diese mit Hilfe dieser Methode exfiltriert werden, obwohl nie eine direkte Verbindung zum Remote-Server bestanden hat.
7. User Fatigue
Auch Unternehmen, die alle Aktionen von KI-Agenten durch menschliche Experten genehmigen lassen, sind nicht auf der sicheren Seite. So legt etwa Palo Alto Networks in einem Blogbeitrag nahe, dass bösartige MCP-Server KI-Agenten (und die menschlichen Kontrolleure) mit harmlosen Anfragen überfluten könnten – etwa für Leseberechtigungen. Nimmt das Überhand, könnte es dazu führen, dass die Benutzer die Anfragen ab einem gewissen Punkt einfach genehmigen, ohne genau hinzusehen – und der Zeitpunkt für einen bösartigen Prompt (der mitunter gut in langen Texten versteckt ist) ist gekommen.
“Die Kernidee dieses Angriffs ähnelt der hinter MFA-Fatigue-Angriffen. Die User werden dabei durch kontinuierliche Authentifizierungsaufforderungen überfordert, mit dem Ziel unbefugten Entitäten Zugriff zu gewähren”, erklärten die Palo-Alto-Forscher.
8. Admin Bypass
Bei diesem Angriffsvektor werden gezielt MCP-Server ausgenutzt, die so konfiguriert sind, dass sie keine Identitätsprüfung verlangen. Das könnte beispielsweise der Fall sein, wenn ein Unternehmen einen MCP-Server einrichtet, über den KI-Agenten für Benutzer schnell und einfach Informationen abfragen sollen.
Hat der User dabei lediglich Low-Level-Zugriff auf die Informationen und der MCP-Server überprüft dessen Identität nicht, kann der KI-Agent mehr Informationen abrufen, als der Benutzer sehen sollte. Steht der betreffende MCP-Server auch externen Benutzern wie Geschäftspartnern, Kunden oder sogar der Öffentlichkeit zur Verfügung, könnte diese Privilege Escalation noch zu weit größerem Schaden führen.
9. Command Injection
Leitet ein MCP-Server User-Input ohne ordnungsgemäße Validierung direkt an andere Systeme weiter, können Benutzer eigene Befehle einschleusen – auf ähnliche Art und Weise wie bei SQL-Injection-Attacken. Böswillige Angreifer könnten das beispielsweise nutzen, um alle von einem MCP-Server freigegebenen Tools auf Schwachstellen für Command Injection testen.
Wie bei anderen Arten von Injection-Attacken sollten MCP-Server so konfiguriert sein, dass sie Benutzereingaben niemals direkt an Shell-Befehle weiterleiten. Stattdessen empfiehlt es sich, Inputs ordnungsgemäß zu validieren und parametrisierte Befehle zu verwenden.
10. Tool Shadowing
Kann ein KI-Agent auf mehrere MCP-Server zugreifen, könnte einer dieser Server den Agenten dazu verleiten, einen anderen Server unangemessen zu verwenden.
Ein fiktives Beispiel aus dem Healthcare-Bereich: Ein Unternehmen betreibt zwei MCP-Server. Der eine stammt von einem Drittanbieter und stellt allgemeine Informationen zu medizinischen Symptomen bereit, der andere Abrechnungsinformationen von Patienten. Während der Server für das Abrechnungssystem sicher ist und wie vorgesehen funktioniert, wirkt der andere Server nur so – ist aber bösartig und weist den KI-Agenten im Hintergrund an, Abrechnungsinformationen preiszugeben, beispielsweise, in dem er diese per Email verschickt. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
No Responses