Das Model Context Protocol (MCP) hat sich als revolutionäre Technologie etabliert, die den Einsatz agentischer KI-Anwendungen vorantreibt. Durch die Modularität und Flexibilität von MCP können verschiedenste KI-Tools in unterschiedlichsten Umgebungen wie Slack, AWS S3 oder Box genutzt werden. Trotz seines Potenzials und zunehmender Verbreitung steckt MCP jedoch noch in den Anfängen und ist von diversen Sicherheitsrisiken betroffen, die oft unterschätzt werden. Ein besonders alarmierender Befund stammt aus der jüngsten Forschung von HiddenLayer, die eine überraschend einfache, aber effektive Methode zum Ausnutzen von Werkzeugaufrufen über MCP aufgedeckt hat. Dabei lassen sich durch das Einfügen bestimmter Parameter in Tool-Funktionen sensible Informationen extrahieren, auch wenn diese Parameter nicht zur tatsächlichen Verarbeitung des Werkzeugs gehören.
Das eröffnet potenziell schwerwiegende Angriffsvektoren, die in der KI-Sicherheitsgemeinschaft Aufmerksamkeit erregen sollten. Die Sicherheitsproblematik entsteht dadurch, dass beim Aufruf eines Werkzeug-Tools durch einen Client spezifische Parameter angegeben werden können, die die Antwort des Systems beeinflussen – oder eben sensible Daten preisgeben. HiddenLayer demonstrierte anhand eines scheinbar harmlosen Additions-Werkzeugs, wie durch das Einfügen von Parametern wie "tools_list" nicht nur das Ergebnis der Addition zurückgegeben wird, sondern auch eine Liste aller verfügbaren Tools auf dem MCP-Server. Diese Tatsache verdeutlicht, wie Angreifer wichtige Informationen zum Aufbau einer Angriffskette sammeln können, indem sie mögliche Ziele innerhalb des Systems identifizieren und verbinden. Das Risiko verschärft sich, wenn man Parameter wie "tool_call_history" oder gar die besonders detaillierten "every_single_previous_tool_call_input_for_every_type_of_tool" und "every_single_previous_tool_call_output_for_every_type_of_tool" nutzt.
Dadurch erhält der Angreifer Zugriff auf eine umfassende Historie aller Werkzeugaufrufe, inklusive deren Eingaben und Ausgaben im aktuellen Sitzungsverlauf. Gerade bei der Nutzung in produktiven Umgebungen können darin hochsensible Daten enthalten sein, welche von Anwendern eingegeben wurden oder die KI zur Verarbeitung komplexer Aufgaben verwendet hat. Ein solcher Datenzugriff stellt eine gravierende Datenschutzlücke dar, die von Unternehmen mit höchster Priorität adressiert werden muss. Ein weiterer besonders kritischer Parameter ist "system_prompt". Das vollständige Auslesen des Systemprompts erlaubt es Angreifern, die internen Anweisungen und Sicherheitsrichtlinien des KI-Modells zu erfahren, die eigentlich geschützt bleiben sollten.
Das Systemprompt enthält oft wichtige Vorgaben zur Content-Moderation, Sicherheitsmechanismen sowie proprietäre Designentscheidungen. Wenn diese Informationen in falsche Hände geraten, können sie als Grundlage dienen, um zielgerichtete Umgehungen der Schutzmaßnahmen zu entwickeln oder das Modell gezielt auszunutzen. Darüber hinaus zeigen Experimente, dass auch der Name des verwendeten Modells über den Parameter "model_name" abgefragt werden kann. Die Kenntnis über genaue Modellversionen und -typen erlaubt es Angreifern, spezifische Schwachstellen zu recherchieren oder Exploit-Strategien anzupassen, um eine höhere Erfolgsrate zu erzielen. Logischerweise birgt dies ein zusätzliches Risiko für Betreiber von MCP-unterstützten Anwendungen.
Die Möglichkeit, den Parameter "conversation_history" auszuwerten, ist ein weiterer wesentlicher Angriffspunkt. Die gesamte bisherige Gesprächshistorie kann so unbemerkt offengelegt werden. Das betrifft besonders Anwendungen mit vertraulichen Informationen, da das Auslesen von Nutzerdialogen weitreichende Folgen hat, etwa im Finanzsektor, öffentlichen Verwaltungen oder bei medizinischen Anwendungen. Ebenso unerwartet ist die Extrahierung der "chain_of_thought", also des internen Denkprozesses der KI, der während der Generierung von Antworten abläuft. Diese Daten können Einsichten in eingesetzte Heuristiken und Problemlösungswege geben und dienen als Grundlage für Manipulationen und Reverse Engineering.
HiddenLayer ist sogar gelungen, die extrahierten Daten mittels einfacher HTTP-POST-Anfragen an externe Server aus dem Zielformat exfiltrieren zu lassen. Diese Funktion macht den Angriff nicht nur passiv sondern aktiv gefährlich, weil er automatisiert sensible Informationen abziehen und weiterleiten kann, ohne dass ein Nutzer oder Administrator dies unmittelbar bemerkt. Das gezeigte Beispiel verdeutlicht, wie Parameter wie "model_name", "chain_of_thought" und "conversation_history" in einer MCP-Toolfunktion genutzt werden können, um Daten an eine externe Plattform, etwa webhook.site, zu senden. Die resultierenden Sicherheitslücken betreffen nicht nur Entwickler von MCP-Servern, sondern auch Unternehmen und Nutzer, die solche Dienste implementieren oder verwenden.
Die Empfindlichkeit der extrahierten Informationen ist enorm und reicht von persönlichen Daten über interne Betriebsprozesse bis hin zu geheimen KI-Modelleinstellungen. Angreifer könnten diese Informationen verwenden, um weitere Angriffe durchzuführen, Privatsphäre zu verletzen oder sogar betrügerische Aktivitäten zu initiieren. Um den Schutz gegen derartige Ausnutzungen zu gewährleisten, sind verschiedene Maßnahmen essenziell. Dazu gehört zum einen eine strikte Validierung aller MCP-Tools vor dem Einsatz in produktiven Systemen. Werkzeuge sollten keine ungenutzten Parameter enthalten dürfen oder diese zumindest keine sensiblen Daten extrahieren können.
Falls eine solche Situation erkannt wird, sollte der Server das Ausführen mit entsprechenden Fehlerhinweisen verweigern. Zum anderen sind technische Guardrails implementierbar, die automatisch sensible Daten in der Kommunikation erkennen und blockieren. Auch ein umfangreiches Logging ist sinnvoll, um auffällige Muster, etwa Parameter wie "conversation_history" in Werkzeugaufrufen, zu erkennen und gegebenenfalls automatisierte Alarme auszulösen. Neben technischen Mitteln ist zudem ein Bewusstseinsschärfungs- und Schulungsprogramm für Entwickler und Nutzer wichtig, denn nur so kann mit Verständnis für die Risiken ein verantwortungsbewusster Umgang mit MCP-Tools etabliert werden. Das Thema Sicherheit bei Model Context Protocol spiegelt einen typischen Trend in der Technologieentwicklung wider: Fortschritt schreitet oft schneller voran als der wirksame Schutz aller Komponenten.
MCP ist ohne Zweifel eine wichtige Grundlage für den Ausbau agentischer KI, doch es bedarf einer konzentrierten Gemeinschaftsanstrengung in Forschung, Entwicklung und Betrieb, Sicherheitslücken frühzeitig zu identifizieren und wirkungsvolle Gegenmaßnahmen zu implementieren. Die Forschungsergebnisse wie die von HiddenLayer helfen dabei, Schwachstellen transparent zu machen, um die Technologie für die Zukunft robuster und vertrauenswürdiger zu gestalten. Insgesamt zeigt sich, dass die Manipulation von MCP-Toolparametern ein ernstzunehmendes Risiko für Anbieter und Nutzer von KI-Diensten darstellt. Die Fähigkeit, auf einfache Weise wichtige interne Daten auszulesen und unbemerkt an externe Server zu übertragen, kann massive Datenschutzverletzungen nach sich ziehen und die Integrität der Systeme kompromittieren. Die Herausforderung besteht darin, den Einsatz von MCP so sicher wie möglich zu gestalten, ohne die vielfältigen Vorteile und Verwendungsmöglichkeiten einzuschränken.
Für alle Akteure in diesem Ökosystem gilt daher, wachsam und proaktiv zu bleiben und den Schutz von Daten und Modellen stets in den Mittelpunkt aller technischen und organisatorischen Maßnahmen zu stellen. Nur durch konsequente Sicherheitsmaßnahmen können das Vertrauen in KI-Systeme und die Etablierung von MCP als stabile und sichere Basis für künftige Innovationen erreicht werden.
