Model Context Protocol verbindet KI-Agenten mit Tools, Datenbanken und APIs. Eine neue Analyse von 11.524 öffentlichen MCP-Servern zeigt: Ein großer Teil ist unsicher konfiguriert, und ausgerechnet die populärsten Server schneiden am schlechtesten ab.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenMCP-Server sind das Bindeglied, über das autonome KI-Agenten auf Dateien, Zahlungssysteme und Unternehmens-APIs zugreifen. Der Sicherheitsanbieter Canopii hat 11.524 dieser Server durchleuchtet[1] und dabei eine Lücke offengelegt, die jeden Betreiber von KI-Agenten betrifft.
Das Wichtigste in Kürze
- 830 Server, also jeder vierzehnte, fallen mit Note D oder F durch den Sicherheitscheck.
- Server mit über 1.000 GitHub-Sternen sind fünfmal häufiger hochriskant als unbekannte.
- Von 77 Servern mit deklarierter Authentifizierung haben 24 ihre Tools an anonyme Aufrufer herausgegeben.
- 81 Prozent laufen ohne Sandbox, mit vollem Zugriff auf den Rechner, auf dem der Agent arbeitet.
Was hat Canopii im MCP-Ökosystem gefunden?

Canopii hat 11.524 MCP-Server statisch analysiert. 830 sind mit Note D oder F durchgefallen, 232 enthalten eine bestätigte gefährliche Code-Senke, und 184 Versionen haben ihre Tool-Definitionen heimlich nach der Freigabe geändert.
Die gefährlichen Senken sind kein theoretisches Muster: 141 Server werten beliebigen Code aus, 69 führen Shell-Befehle aus Tool-Eingaben aus, 42 deserialisieren nicht vertrauenswürdige Daten. Das sind genau die Bausteine, mit denen sich eine Prompt-Injection in Codeausführung auf dem Host verwandelt, ganz ähnlich der unauthentifizierten Codeausführung im Motorola-Router aus jüngster Zeit.
Auch die Lieferkette steht offen: 78 Prozent der Server pinnen ihre Abhängigkeiten nicht, 1.617 liefern Pakete mit bekannten Schwachstellen aus. Das macht das MCP-Ökosystem so angreifbar wie npm und PyPI, deren Vorfälle zeigen, dass ein Dienstleister zum Einfallstor wird.
Warum sind ausgerechnet die beliebten Server am unsichersten?
Die Zahl der Sterne auf GitHub steht für Verbreitung, nicht für Sicherheit. Server mit über 1.000 GitHub-Sternen sind fünfmal häufiger hochriskant (18,7 Prozent) als unbekannte (3,6 Prozent). Eine Auswahl nach Popularität erhöht also das Risiko, statt es zu senken.
Der eigentliche Mechanismus steckt im Vertrauensmodell: Ein MCP-Client übernimmt die Tool-Beschreibungen des Servers live und gibt sie dem Agenten als Anweisung vor. Eine manipulierte Beschreibung ist damit Prompt-Injection ab Werk. 130 Server tragen versteckte Instruktionen im Tool-Text, 106 sind auf gezielte Kontext-Vergiftung ausgelegt, wie sie unsere Übersicht der fünf neuen Prompt-Injection-Angriffe beschreibt.
Besonders tückisch sind Rug Pulls: 184 Versionen änderten ihre Tool-Definitionen nachträglich, ohne erneute Freigabe. Betroffen sind Server für Krypto-Signaturen, Zahlungen und IBAN-Erzeugung, also genau die Kategorien, die auch beim agentischen Bezahlen im Spiel sind.
Ein MCP-Server ist kein harmloses Plugin, sondern ein Programm mit vollem Zugriff auf den Rechner des Agenten. Sterne auf GitHub sagen nichts darüber aus, ob dieser Zugriff abgesichert ist.
— Markus Seyfferth, Chefredakteur Dr. Web
Beliebt heißt nicht sicher: Anteil hochriskanter Server nach GitHub-Sternen
Was bedeutet das für Unternehmen im DACH-Raum?
Unternehmen haften für die Zugriffe ihrer KI-Agenten. NIS2 verpflichtet wichtige Einrichtungen zur Lieferketten-Sicherheit, und die DSGVO macht eine Datenexfiltration über einen MCP-Server zum meldepflichtigen Vorfall.
Die Regulierung trifft die Befunde direkt: Ungepinnte Abhängigkeiten und fehlende Sicherheitsrichtlinien (86 Prozent der Server) kollidieren mit den NIS2-Pflichten zur Lieferkette, der EU AI Act verlangt menschliche Aufsicht über agentische Systeme. Gerade der Mittelstand bleibt hier oft ungeschützt, wie der Blick auf die Cyberversicherung zeigt.
Vier Sofortmaßnahmen senken das Risiko spürbar:
- MCP-Server in einer Sandbox betreiben, nie mit vollen Rechten auf dem Host des Agenten.
- Authentifizierung erzwingen statt nur deklarieren, idealerweise über ein vorgeschaltetes Gateway.
- Abhängigkeiten pinnen und regelmäßig auf bekannte Schwachstellen prüfen.
- Tool-Definitionen versioniert überwachen, damit ein Rug Pull auffällt.
Unternehmen sollten jeden angebundenen MCP-Server wie einen externen Dienstleister behandeln, ihn vor der Freigabe prüfen und nicht nach GitHub-Sternen aussuchen.
Quelle
[1] Canopii: „State of MCP Security 2026“ ↩
Mehr Newshunger?
- Fünf neue Prompt-Injection-Angriffe: Wie sich KI-Agenten heimlich umprogrammieren lassen
- Unauthentifizierte Codeausführung im Motorola-Router MR2600
- Datenleck bei Lidl: Warum der Dienstleister das eigentliche Einfallstor war
- Cyberversicherung: Der Markt boomt, der Mittelstand bleibt ungeschützt
- Der KI-Agent bezahlt jetzt selbst: Visa startet Agentic Commerce mit über 30 Banken in Europa