Model Context Protocol verbindet KI-Agenten mit Tools, Datenbanken und APIs. Eine neue Analyse von 11.524 öffentlichen MCP-Servern zeigt: Ein großer Teil ist unsicher konfiguriert, und ausgerechnet die populärsten Server schneiden am schlechtesten ab.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

MCP-Server sind das Bindeglied, über das autonome KI-Agenten auf Dateien, Zahlungssysteme und Unternehmens-APIs zugreifen. Der Sicherheitsanbieter Canopii hat 11.524 dieser Server durchleuchtet[1] und dabei eine Lücke offengelegt, die jeden Betreiber von KI-Agenten betrifft.

Das Wichtigste in Kürze

  • 830 Server, also jeder vierzehnte, fallen mit Note D oder F durch den Sicherheitscheck.
  • Server mit über 1.000 GitHub-Sternen sind fünfmal häufiger hochriskant als unbekannte.
  • Von 77 Servern mit deklarierter Authentifizierung haben 24 ihre Tools an anonyme Aufrufer herausgegeben.
  • 81 Prozent laufen ohne Sandbox, mit vollem Zugriff auf den Rechner, auf dem der Agent arbeitet.

Was hat Canopii im MCP-Ökosystem gefunden?

Ein offenes Vorhängeschloss mit einem Anhänger „Sicherheit geprüft 2026“ liegt vor weißem Hintergrund
Canopii analysierte 11.524 MCP-Server: 830 fielen durch, 232 enthalten gefährliche Code-Senken, 184 änderten Tool-Definitionen nach Freigabe

Canopii hat 11.524 MCP-Server statisch analysiert. 830 sind mit Note D oder F durchgefallen, 232 enthalten eine bestätigte gefährliche Code-Senke, und 184 Versionen haben ihre Tool-Definitionen heimlich nach der Freigabe geändert.

Die gefährlichen Senken sind kein theoretisches Muster: 141 Server werten beliebigen Code aus, 69 führen Shell-Befehle aus Tool-Eingaben aus, 42 deserialisieren nicht vertrauenswürdige Daten. Das sind genau die Bausteine, mit denen sich eine Prompt-Injection in Codeausführung auf dem Host verwandelt, ganz ähnlich der unauthentifizierten Codeausführung im Motorola-Router aus jüngster Zeit.

Auch die Lieferkette steht offen: 78 Prozent der Server pinnen ihre Abhängigkeiten nicht, 1.617 liefern Pakete mit bekannten Schwachstellen aus. Das macht das MCP-Ökosystem so angreifbar wie npm und PyPI, deren Vorfälle zeigen, dass ein Dienstleister zum Einfallstor wird.

Warum sind ausgerechnet die beliebten Server am unsichersten?

Die Zahl der Sterne auf GitHub steht für Verbreitung, nicht für Sicherheit. Server mit über 1.000 GitHub-Sternen sind fünfmal häufiger hochriskant (18,7 Prozent) als unbekannte (3,6 Prozent). Eine Auswahl nach Popularität erhöht also das Risiko, statt es zu senken.

Der eigentliche Mechanismus steckt im Vertrauensmodell: Ein MCP-Client übernimmt die Tool-Beschreibungen des Servers live und gibt sie dem Agenten als Anweisung vor. Eine manipulierte Beschreibung ist damit Prompt-Injection ab Werk. 130 Server tragen versteckte Instruktionen im Tool-Text, 106 sind auf gezielte Kontext-Vergiftung ausgelegt, wie sie unsere Übersicht der fünf neuen Prompt-Injection-Angriffe beschreibt.

Besonders tückisch sind Rug Pulls: 184 Versionen änderten ihre Tool-Definitionen nachträglich, ohne erneute Freigabe. Betroffen sind Server für Krypto-Signaturen, Zahlungen und IBAN-Erzeugung, also genau die Kategorien, die auch beim agentischen Bezahlen im Spiel sind.

Ein MCP-Server ist kein harmloses Plugin, sondern ein Programm mit vollem Zugriff auf den Rechner des Agenten. Sterne auf GitHub sagen nichts darüber aus, ob dieser Zugriff abgesichert ist.

— Markus Seyfferth, Chefredakteur Dr. Web
MCP-Sicherheit 2026: die Schwachstellen im Ökosystem
11.524 öffentliche MCP-Server, mit denen KI-Agenten arbeiten, im Sicherheitscheck.
830
Server mit Note D oder F, jeder vierzehnte fällt durch
232
Server mit bestätigter gefährlicher Code-Senke
31 %
der Server mit deklarierter Auth erzwingen sie nicht
81 %
laufen ohne Sandbox, mit vollem Zugriff auf den Host

Beliebt heißt nicht sicher: Anteil hochriskanter Server nach GitHub-Sternen

1.000+ Sterne18,7 %
weniger als 10 Sterne3,6 %

Was bedeutet das für Unternehmen im DACH-Raum?

Unternehmen haften für die Zugriffe ihrer KI-Agenten. NIS2 verpflichtet wichtige Einrichtungen zur Lieferketten-Sicherheit, und die DSGVO macht eine Datenexfiltration über einen MCP-Server zum meldepflichtigen Vorfall.

Die Regulierung trifft die Befunde direkt: Ungepinnte Abhängigkeiten und fehlende Sicherheitsrichtlinien (86 Prozent der Server) kollidieren mit den NIS2-Pflichten zur Lieferkette, der EU AI Act verlangt menschliche Aufsicht über agentische Systeme. Gerade der Mittelstand bleibt hier oft ungeschützt, wie der Blick auf die Cyberversicherung zeigt.

Vier Sofortmaßnahmen senken das Risiko spürbar:

  • MCP-Server in einer Sandbox betreiben, nie mit vollen Rechten auf dem Host des Agenten.
  • Authentifizierung erzwingen statt nur deklarieren, idealerweise über ein vorgeschaltetes Gateway.
  • Abhängigkeiten pinnen und regelmäßig auf bekannte Schwachstellen prüfen.
  • Tool-Definitionen versioniert überwachen, damit ein Rug Pull auffällt.

Unternehmen sollten jeden angebundenen MCP-Server wie einen externen Dienstleister behandeln, ihn vor der Freigabe prüfen und nicht nach GitHub-Sternen aussuchen.

Quelle

[1] Canopii: „State of MCP Security 2026“

Mehr Newshunger?

4,4 19 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?