MCP-Sicherheit: Risiken von Tool-Servern kennen
MCP verbindet KI-Agenten mit mĂ€chtigen Tools â und öffnet damit neue AngriffsflĂ€chen. Diese Risiken solltest du kennen, bevor du einen Server verbindest.
Warum MCP eine eigene AngriffsflÀche schafft
Ein MCP-Server gibt einem Agenten echte Handlungsmacht: Dateien lesen, E-Mails senden, Datenbanken abfragen. Verbindest du einen Server, vertraust du nicht nur seinem Code, sondern jedem Text, den er dem Modell zeigt â inklusive Beschreibungen, die ein Mensch beim Verbinden oft gar nicht liest.
Tool Poisoning
Die Beschreibung eines Tools wird dem Modell als Text ĂŒbergeben. Ein bösartiger Server kann dort versteckte Anweisungen einbauen, die fĂŒr dich unsichtbar sind, das Modell aber trotzdem befolgt â etwa die SSH-Konfiguration zusĂ€tzlich auszulesen und unauffĂ€llig in einen Parameter zu packen. Das Modell hĂ€lt das fĂŒr eine normale Werkzeug-Anleitung.
Prompt Injection ĂŒber Tool-Ergebnisse
Auch das Ergebnis eines Tool-Aufrufs kann manipulierten Text enthalten, etwa wenn ein Tool eine prÀparierte Webseite oder ein Dokument liefert. Diese Inhalte landen wie normaler Kontext im Modell und können als Anweisung missverstanden werden.
Supply-Chain-Risiko
MCP-Server sind meist fremder Code, oft von kleinen, unabhĂ€ngigen Projekten. Ein kompromittiertes Paket oder ein böswilliger Maintainer kann ĂŒber ein Update nachtrĂ€glich schĂ€dliches Verhalten einschleusen â wie bei jeder anderen Software-AbhĂ€ngigkeit auch.
Die Least-Privilege-Regel
Verbinde nur Server, denen du vertraust, gib ihnen nur die Rechte, die ihre Aufgabe wirklich braucht, und bestÀtige riskante Aktionen manuell statt automatisch.
BEISPIEL
Vor dem Verbinden eines neuen MCP-Servers: Quellcode-Repository öffnen, die tatsĂ€chlichen Tool-Beschreibungen im Code suchen und auf versteckte Formulierungen wie 'IMPORTANT', 'ignore previous' oder ungewöhnliche Anweisungen prĂŒfen, statt dem Server blind zu vertrauen, nur weil er in einer Liste empfohlener Server steht.
đ ïž ĂBUNG â MACH DAS BEI DIR
PrĂŒfe einen MCP-Server, den du nutzt (oder nutzen willst), gegen die Least-Privilege-Checkliste.
- Ăffne den Quellcode (falls verfĂŒgbar) und lies die tatsĂ€chlichen Tool-Beschreibungen, nicht nur die Kurzbeschreibung in der Server-Liste.
- PrĂŒfe, welche Rechte/Ressourcen der Server tatsĂ€chlich anfordert â decken sie sich mit dem, was seine Aufgabe erfordert?
- PrĂŒfe, ob riskante Aktionen (Schreiben, Löschen, Netzwerk-Zugriff) eine BestĂ€tigung verlangen oder automatisch laufen.
- Entscheide bewusst, ob du dem Server aufgrund dieser PrĂŒfung vertraust, oder schrĂ€nke seine Rechte ein.
â SELBST-CHECK
- â Hast du die tatsĂ€chlichen Tool-Beschreibungen gelesen, nicht nur die Kurzbeschreibung?
- â Decken sich die angeforderten Rechte des Servers mit seiner eigentlichen Aufgabe?
- â Verlangen riskante Aktionen wie Schreiben oder Löschen eine BestĂ€tigung?
KURZ-QUIZ
Was ist eine 'Tool Poisoning Attack' bei MCP-Servern?
QUELLEN
- MCP-Spezifikation: Tools (Security Considerations) â modelcontextprotocol.io
- Invariant Labs: MCP Security Notification â Tool Poisoning Attacks â invariantlabs.ai
- Claude Code Doku: MCP verbinden â code.claude.com
- Model Context Protocol: Security Best Practices â modelcontextprotocol.io
- Simon Willison: MCP Prompt Injection Risks â simonwillison.net