Adversa hat eine umfassende Liste der Top‑25 Schwachstellen im Model Context Protocol (MCP) publiziert und positioniert den Report als derzeit tiefgehendste Risikoanalyse für MCP-basierte Agenten‑Workloads. Der Leitfaden kombiniert Bedrohungskatalog, Priorisierungsmethodik und praxisnahe Härtungsmaßnahmen – ein relevanter Bezugsrahmen für Teams, die Agenten‑KI sicher in Produktionsumgebungen betreiben.
Model Context Protocol: Fundament für sichere Agenten-Integrationen
MCP, 2024 von Anthropic als offener Standard vorgestellt, definiert einen einheitlichen Mechanismus, um KI‑Agenten kontrolliert mit Tools, Datenquellen, anderen Agenten und Kontext zu verbinden. Ziel ist es, Interaktionen nachvollziehbar, wiederholbar und sicher zu gestalten. Wie jede Integrationsschicht kann MCP jedoch Angriffsflächen eröffnen – von Datenabfluss über Privilegieneskalation bis hin zu Remote Code Execution (RCE). Referenz: Anthropic MCP.
Top‑25 MCP-Schwachstellen: Methodik, Ranking und zentrale Risiken
Adversa bewertet jede Schwachstelle mit offiziellem und alternativen Bezeichnungen, Impact‑ und Exploitability‑Scores sowie Quellenangaben. Die aggregierte Priorität folgt einer klaren Formel: 40% Auswirkung, 30% Ausnutzbarkeit, 20% Verbreitung, 10% Remediation‑Aufwand. Dieses Gewichtsmodell erleichtert die Reihenfolge bei Patches und kompensierenden Kontrollen.
Prompt-Injektion als dominierender Angriffsvektor
Spitzenreiter ist die Prompt‑Injektion, die hohe Schadenspotenziale mit niedrigen Eintrittsbarrieren verbindet. Angreifer können über präparierte Eingaben oder Tool‑Antworten Agenten fehlleiten, gefährliche Funktionen auslösen oder sensible Daten exfiltrieren. Am anderen Ende liegt die MCP Preference Manipulation Attack (MPMA) mit begrenztem Impact und hoher praktischer Hürde (Platz 24). Kontext: OWASP Top‑10 für LLM‑Anwendungen führt Prompt‑Injection‑Risiken ebenfalls als zentrales Thema.
Konkrete Schutzmassnahmen für MCP-Umgebungen
Sofort handeln: Eingaben strikt validieren
Als erste Verteidigungslinie empfiehlt Adversa zwingende Eingabevalidierung und -bereinigung. Laut der Analyse sind 43% der MCP‑Server für Kommando‑Injektionen verwundbar. Strikte Filter, Normalisierung und kanonische Parsing‑Routinen reduzieren das Exploit‑Fenster signifikant.
Mehrschichtige Absicherung: Protokoll, App, KI-Layer und Infrastruktur
Empfohlen wird ein Vier‑Ebenen‑Modell: auf Protokollebene TLS erzwingen; auf Anwendungsebene parametrisierte Datenbankabfragen und sichere Dateiverarbeitung; im KI‑Layer Gegenmaßnahmen gegen Prompt‑Injektionen (z. B. Output‑Filtering, Tool‑Allowlists, Funktionstrennung); in der Infrastruktur Least‑Privilege, umfassendes Logging und Anomalie‑Monitoring. Praxisbeispiel: Antworten externer Tools sollten vor Agenten‑Ausführung mit Regelsätzen validiert und auf unsichere Instruktionen geprüft werden.
3‑Monats-Roadmap: Von Quick Wins zu Zero-Trust
Unmittelbar: Authentifizierung an allen offenen Endpunkten aktivieren, offensichtliche Injektionswege schließen. Mittelfristig: Netzsegmentierung ausbauen, RBAC/ABAC nach dem Prinzip minimaler Rechte etablieren, zentralen Audit‑Trail implementieren. Bis Monat drei: Architektur auf Zero‑Trust ausrichten, um kompromittierte Komponenten und Lieferkettenrisiken zu isolieren. Orientierung bieten u. a. NIST AI RMF und CSA‑Leitfäden.
Abgleich mit OWASP, CSA und NIST: Governance und Compliance beschleunigen
Die Zuordnung der MCP‑Risiken zu etablierten Taxonomien (OWASP, Cloud Security Alliance, NIST) vereinfacht Risk Governance und Compliance‑Nachweise. Während die Community an einem OWASP MCP Top‑10 arbeitet, will Adversa seine Ergebnisse ausrichten und Beiträge liefern – ein Schritt hin zu einheitlicher Sprache für Engineering, SecOps und Audit.
Unternehmen, die auf MCP setzen, sollten jetzt ihre MCP‑Endpunkte und ‑Tools inventarisieren, Eingaben konsequent validieren, mehrschichtige Kontrollen etablieren und Teams gezielt gegen Prompt‑Injektionen schulen. Die monatlichen Updates der Top‑25 im Blick zu behalten, Risiken mit OWASP/CSA/NIST zu verknüpfen und schrittweise auf Zero‑Trust zu migrieren, senkt die Eintrittswahrscheinlichkeit von Vorfällen und begrenzt deren Business‑Impact nachhaltig.
