MCP-Angriffe
Was ist MCP-Angriffe?
MCP-AngriffeAngriffe, die das Model Context Protocol (MCP) ausnutzen, um Prompts einzuschleusen, Tools zu missbrauchen oder ueber Server zu pivotieren, denen ein KI-Assistent vertraut.
MCP-Angriffe richten sich gegen das Model Context Protocol, einen von Anthropic vorgestellten offenen Standard, mit dem KI-Assistenten ueber eine einheitliche Schnittstelle auf externe Tools, Datenquellen und Anwendungen zugreifen. Da ein MCP-Server Tools, Ressourcen und Prompts an das Modell weitergeben kann, kann ein boesartiger oder kompromittierter Server versteckte Anweisungen einschleusen, Nutzerdaten exfiltrieren, gefaehrliche Tool-Aufrufe ausloesen oder bereits genehmigte Tool-Beschreibungen nachtraeglich aendern (sogenannter Rug Pull). Verwandte Techniken sind Tool-Description-Poisoning, Confused-Deputy-Angriffe zwischen Servern und Prompt Injection ueber zurueckgegebene Dokumente. Gegenmassnahmen umfassen signierte und gepinnte Serveridentitaeten, eng gefasste Rechte, explizite Zustimmung pro Aufruf und Sandboxing der MCP-Prozesse.
● Beispiele
- 01
Ein boesartiger MCP-Server aendert die Beschreibung eines zuvor genehmigten Tools, sodass kuenftige Aufrufe heimlich E-Mails des Nutzers abfliessen lassen.
- 02
Ein vom MCP-Server zurueckgegebenes Dokument enthaelt versteckte Anweisungen, die den Assistenten anweisen, API-Schluessel an einen Angreifer-Webhook zu senden.
● Häufige Fragen
Was ist MCP-Angriffe?
Angriffe, die das Model Context Protocol (MCP) ausnutzen, um Prompts einzuschleusen, Tools zu missbrauchen oder ueber Server zu pivotieren, denen ein KI-Assistent vertraut. Es gehört zur Kategorie KI- und ML-Sicherheit der Cybersicherheit.
Was bedeutet MCP-Angriffe?
Angriffe, die das Model Context Protocol (MCP) ausnutzen, um Prompts einzuschleusen, Tools zu missbrauchen oder ueber Server zu pivotieren, denen ein KI-Assistent vertraut.
Wie funktioniert MCP-Angriffe?
MCP-Angriffe richten sich gegen das Model Context Protocol, einen von Anthropic vorgestellten offenen Standard, mit dem KI-Assistenten ueber eine einheitliche Schnittstelle auf externe Tools, Datenquellen und Anwendungen zugreifen. Da ein MCP-Server Tools, Ressourcen und Prompts an das Modell weitergeben kann, kann ein boesartiger oder kompromittierter Server versteckte Anweisungen einschleusen, Nutzerdaten exfiltrieren, gefaehrliche Tool-Aufrufe ausloesen oder bereits genehmigte Tool-Beschreibungen nachtraeglich aendern (sogenannter Rug Pull). Verwandte Techniken sind Tool-Description-Poisoning, Confused-Deputy-Angriffe zwischen Servern und Prompt Injection ueber zurueckgegebene Dokumente. Gegenmassnahmen umfassen signierte und gepinnte Serveridentitaeten, eng gefasste Rechte, explizite Zustimmung pro Aufruf und Sandboxing der MCP-Prozesse.
Wie schützt man sich gegen MCP-Angriffe?
Schutzmaßnahmen gegen MCP-Angriffe kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für MCP-Angriffe?
Übliche alternative Bezeichnungen: Angriff auf Model Context Protocol, MCP-Tool-Injection.
● Verwandte Begriffe
- ai-security№ 866
Prompt Injection
Angriff, der die ursprünglichen Anweisungen eines LLM überschreibt, indem adversarieller Text in den Prompt eingeschleust wird, sodass das Modell Schutzmaßnahmen ignoriert oder vom Angreifer gewünschte Aktionen ausführt.
- ai-security№ 528
Indirekte Prompt Injection
Variante der Prompt Injection, bei der bösartige Anweisungen in Drittinhalten (Webseiten, Dokumenten, E-Mails) versteckt sind, die ein LLM später über Retrieval, Browsing oder Tools aufnimmt.
- ai-security№ 619
LLM-System-Prompt-Leak
Angriff, der den verborgenen System-Prompt oder die Anweisungen einer deployten LLM-Anwendung extrahiert und damit Logik, Geheimnisse und Tools offenlegt.