Eine neu analysierte Schwachstelle im Model Context Protocol (MCP) legt ein zentrales Architekturproblem in vielen aktuellen KI-Stacks offen. Der offizielle MCP-SDK von Anthropic erlaubt unter bestimmten Bedingungen Remote Code Execution (RCE) und gefaehrdet damit tausende LLM-Integrationen sowie die AI-Supply-Chain zahlreicher Unternehmen.
Model Context Protocol: Wenn die Architektur zur Schwachstelle wird
MCP dient als Bruecke zwischen grossen Sprachmodellen (LLM) und externen Tools, Datenquellen oder Diensten. Die Referenzimplementierung von Anthropic nutzt dazu unter anderem den Transportkanal STDIO (Standard Input/Output). Genau hier setzen die Forscher von OX Security an: Aus ihrer Sicht fuehren unsichere Default-Einstellungen in der MCP-Architektur dazu, dass Konfigurationsparameter nahezu direkt in Systembefehle uebersetzt werden.
In der Praxis bedeutet dies: Wird ein MCP-Server per Kommandozeile oder Skript gestartet, koennen Angreifer ueber manipulierte Konfigurationen oder Integrationen erreichen, dass das System nicht nur einen STDIO-Server startet, sondern beliebige Betriebssystembefehle ausfuehrt.
Remote Code Execution ueber STDIO-Implementierung in mehreren Sprachen
Betroffen ist der offizielle MCP-SDK in allen unterstuetzten Sprachen, darunter Python, TypeScript, Java und Rust. Die Implementierung prueft zwar, ob ein STDIO-Server erfolgreich gestartet wurde, fuehrt den angegebenen Befehl jedoch in jedem Fall aus. Erst im Fehlerfall bricht der Prozess nach der Ausfuehrung ab – zu spaet, um RCE zu verhindern.
Damit laesst sich ein MCP-Server, der vermeintlich nur als Bruecke zwischen LLM und Tool dient, in ein Einfallstor verwandeln: Gelingt es Angreifern, Konfigurationen oder Startparameter zu kontrollieren, koennen sie Schadcode mit den Rechten des MCP-Prozesses ausfuehren. Dies deckt sich mit bekannten Mustern aus der klassischen IT-Sicherheit, etwa der unsicheren Auswertung von Kommandozeilenparametern, wie sie auch in OWASP-Empfehlungen beschrieben wird.
Ausmass der MCP-Sicherheitsluecke in der AI-Supply-Chain
Nach Schaetzung von OX Security betrifft die Schwachstelle den offiziellen Anthropic-MCP-SDK in allen Sprach-Bindings. Ueber alle Oekosysteme hinweg sind damit mehr als 7 000 oeffentlich zugaengliche Server und ueber 150 Millionen Downloads von betroffenen Bibliotheken involviert.
Auf Basis dieses Konstruktionsfehlers wurden mindestens 10 konkrete Schwachstellen in populaeren LLM-Frameworks und -Tools identifiziert, darunter LiteLLM, LangChain, LangFlow, Flowise, LettaAI und LangBot. In allen Faellen laeuft das Risiko auf dasselbe Szenario hinaus: Remote Code Execution auf dem Server, auf dem der MCP-Dienst laeuft.
Bekannte CVEs und Reaktionen der Anbieter
Mehrere Forschungsteams haben im vergangenen Jahr unabhaengig voneinander verwundbare MCP-basierte Komponenten gemeldet. Zu den veroeffentlichten Schwachstellen gehoeren unter anderem:
CVE-2025-49596 (MCP Inspector), CVE-2026-22252 (LibreChat), CVE-2026-22688 (WeKnora), CVE-2025-54994 (@akoskm/create-mcp-server-stdio) und CVE-2025-54136 (Cursor). Obwohl sich die technischen Details unterscheiden, liegt ihnen derselbe Kernfehler zugrunde: unsichere Nutzung von STDIO im Kontext des MCP-Protokolls, die zu RCE fuehrt.
Einige Anbieter haben bereits Patches, sicherere Defaults oder Härtungen veroeffentlicht. Anthropic selbst hat jedoch nach Angaben der Forscher keine grundlegende Aenderung der MCP-Architektur vorgenommen und das bestehende Verhalten als beabsichtigt eingestuft. Damit bleibt die Referenzimplementierung ein Risiko, das von zahlreichen Downstream-Projekten unveraendert uebernommen wird.
Warum MCP ein AI-Supply-Chain-Risiko darstellt
Die Besonderheit dieses Falls liegt darin, dass nicht ein einzelnes Produkt, sondern eine Basis-Komponente der KI-Infrastruktur betroffen ist. MCP wird von vielen Projekten als vertrauenswuerdiger Standard fuer LLM-Tool-Integrationen betrachtet. Ein einmal eingefuehrter Architekturfehler propagiert sich so in Sprach-Bindings, Frameworks, Developer-Tools und Unternehmensanwendungen – ein klassisches Muster fuer AI-Supply-Chain-Schwachstellen.
Hinzu kommt, dass LLM-Agenten und MCP-basierte Integrationen haeufig Zugriff auf besonders schutzbeduerftige Ressourcen haben: interne Datenbanken, API-Schluessel, Chat-Protokolle, Quellcode-Repositories oder Geschaeftslogik. Eine erfolgreiche RCE auf dem MCP-Server kann daher nicht nur zu Datendiebstahl fuehren, sondern auch zu Manipulation von Modellen, Sabotage von Workflows oder lateralem Bewegung im Unternehmensnetz.
Empfohlene Sicherheitsmassnahmen fuer MCP- und LLM-Umgebungen
Netzwerksegmentierung und strikte Zugriffskontrolle
MCP-Server sollten grundsaetzlich nicht direkt aus dem Internet erreichbar sein. Empfohlen wird eine Platzierung in geschuetzten Netzwerksegmenten, gesichert durch Firewalls, Zero-Trust-Konzepte und starke Authentifizierung. Zugriffe sollten auf definierte Dienste und vertrauenswuerdige Clients beschraenkt werden.
Sichere Konfiguration, Isolation und Monitoring
Alle extern bezogenen MCP-Konfigurationen sind als nicht vertrauenswuerdig zu behandeln. Ungefilterte Benutzereingaben duerfen nicht in Startbefehle oder Konfigurationsparameter einfliessen. MCP-Dienste sollten in isolierten Umgebungen betrieben werden – etwa in Containern mit minimalen Rechten oder Sandboxen –, um moegliche RCE-Auswirkungen zu begrenzen.
Zusaetzlich ist ein umfassendes Logging und Monitoring der Aufrufe von MCP-Tools und LLM-Agenten erforderlich. Ungewoehnliche Kommandos, unerwartete Netzwerkverbindungen oder Abweichungen im Prozessverhalten koennen fruehzeitig auf einen Exploitversuch hinweisen.
AI-Supply-Chain-Hygiene und Abhaengigkeitsmanagement
Unternehmen sollten ausschliesslich MCP-Server und Bibliotheken aus vertrauenswuerdigen Quellen nutzen, CVE-Meldungen aktiv verfolgen und Abhaengigkeiten regelmaessig aktualisieren. Bewaehrte Praktiken der Supply-Chain-Sicherheit – etwa Software Bill of Materials (SBOM), Integritaetspruefungen und wiederkehrende Dependency-Audits nach Empfehlungen von NIST und OWASP – werden im KI-Kontext zu unverzichtbaren Grundanforderungen.
Die MCP-Schwachstelle zeigt deutlich, wie ein scheinbar technisches Detail im Protokolldesign zum systemischen Risiko fuer ganze KI-Oekosysteme werden kann. Organisationen, die LLM-Agents und MCP-Integrationen einsetzen, sollten ihre Architektur, Netzsegmentierung und Abhaengigkeiten kritisch ueberpruefen und robuste Prozesse fuer AI-Supply-Chain-Risikomanagement etablieren. Wer fruehzeitig nachruestet, Härtungen umsetzt und Sicherheitsupdates konsequent einspielt, reduziert die Angriffsfläche erheblich und staerkt nachhaltig die Resilienz seiner KI-Infrastruktur.
