Model Context Protocol (MCP)
Was ist Model Context Protocol (MCP)?
Model Context Protocol (MCP)Offenes Protokoll, das Ende 2024 von Anthropic vorgestellt wurde und standardisiert, wie LLM-Clients über Server an externe Werkzeuge, Datenquellen und Prompts angebunden werden — wodurch MCP-Server zur zentralen Sicherheitsgrenze agentenbasierter KI werden.
Model Context Protocol (MCP) ist eine offene Spezifikation, die Anthropic erstmals im November 2024 veröffentlichte und die sich rasch zum Standard entwickelte, um LLM-Clients (Claude Desktop, Claude Code, IDEs, Agent-Runtimes) an externe Fähigkeiten anzubinden. Ein MCP-Server stellt eine typisierte Menge an Werkzeugen, Ressourcen und Prompts bereit, während ein MCP-Client vermittelt, mit welchen Servern das Modell wie kommunizieren darf. Sicherheitstechnisch bündeln MCP-Server drei besonders sensible Fähigkeiten an einem Punkt: das Lesen vertraulicher Daten (Datenbanken, Dateien, Slack, Drive), das Auslösen von Seiteneffekten (Schreib-APIs, Deployments, Zahlungen) und das Einbringen von Text direkt in das Kontextfenster des Modells. Damit ist MCP eine zentrale Angriffsfläche für agentenbasierte KI: bösartige MCP-Server, Tool-Poisoning, indirekte Prompt-Injection über zurückgegebenen Content, zu breite Consent-Prompts und fehlende Capability-Granularität sind reale Probleme. Übliche Gegenmaßnahmen sind signierte oder kuratierte Server-Kataloge, feingranulare Capability-Scopes pro Tool, menschliche Freigaben für Schreib-Tools, Ausgabe-Sanitisierung und die Grundannahme, dass jeder fremde MCP-Server untrusted ist.
● Beispiele
- 01
Claude Desktop verbindet sich mit einem lokalen „filesystem"-MCP-Server, dessen Lese-/Schreibwerkzeuge auf ein konkretes Projektverzeichnis beschränkt sind.
- 02
Ein Angreifer veröffentlicht einen Dritt-MCP-Server, der bei Einbindung in die Tool-Kette eines Agenten still und heimlich abgerufene Dokumente an einen Remote-Endpunkt exfiltriert.
● Häufige Fragen
Was ist Model Context Protocol (MCP)?
Offenes Protokoll, das Ende 2024 von Anthropic vorgestellt wurde und standardisiert, wie LLM-Clients über Server an externe Werkzeuge, Datenquellen und Prompts angebunden werden — wodurch MCP-Server zur zentralen Sicherheitsgrenze agentenbasierter KI werden. Es gehört zur Kategorie KI- und ML-Sicherheit der Cybersicherheit.
Was bedeutet Model Context Protocol (MCP)?
Offenes Protokoll, das Ende 2024 von Anthropic vorgestellt wurde und standardisiert, wie LLM-Clients über Server an externe Werkzeuge, Datenquellen und Prompts angebunden werden — wodurch MCP-Server zur zentralen Sicherheitsgrenze agentenbasierter KI werden.
Wie funktioniert Model Context Protocol (MCP)?
Model Context Protocol (MCP) ist eine offene Spezifikation, die Anthropic erstmals im November 2024 veröffentlichte und die sich rasch zum Standard entwickelte, um LLM-Clients (Claude Desktop, Claude Code, IDEs, Agent-Runtimes) an externe Fähigkeiten anzubinden. Ein MCP-Server stellt eine typisierte Menge an Werkzeugen, Ressourcen und Prompts bereit, während ein MCP-Client vermittelt, mit welchen Servern das Modell wie kommunizieren darf. Sicherheitstechnisch bündeln MCP-Server drei besonders sensible Fähigkeiten an einem Punkt: das Lesen vertraulicher Daten (Datenbanken, Dateien, Slack, Drive), das Auslösen von Seiteneffekten (Schreib-APIs, Deployments, Zahlungen) und das Einbringen von Text direkt in das Kontextfenster des Modells. Damit ist MCP eine zentrale Angriffsfläche für agentenbasierte KI: bösartige MCP-Server, Tool-Poisoning, indirekte Prompt-Injection über zurückgegebenen Content, zu breite Consent-Prompts und fehlende Capability-Granularität sind reale Probleme. Übliche Gegenmaßnahmen sind signierte oder kuratierte Server-Kataloge, feingranulare Capability-Scopes pro Tool, menschliche Freigaben für Schreib-Tools, Ausgabe-Sanitisierung und die Grundannahme, dass jeder fremde MCP-Server untrusted ist.
Wie schützt man sich gegen Model Context Protocol (MCP)?
Schutzmaßnahmen gegen Model Context Protocol (MCP) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Model Context Protocol (MCP)?
Übliche alternative Bezeichnungen: MCP, MCP-Protokoll.
● Verwandte Begriffe
- ai-security№ 731
MCP-Angriffe
Angriffe, die das Model Context Protocol (MCP) ausnutzen, um Prompts einzuschleusen, Tools zu missbrauchen oder ueber Server zu pivotieren, denen ein KI-Assistent vertraut.
- ai-security№ 027
Sicherheit agentenbasierter KI
Disziplin zur Absicherung autonomer LLM-Agenten, die planen, Werkzeuge aufrufen und in realen Systemen handeln — wo Prompt-Injection zu Remote Code Execution und exzessive Handlungsmacht zu echtem Schaden wird.
- ai-security№ 1285
Tool-Use Injection
Attacks that manipulate an LLM agent's tool-calling layer — forging tool arguments, smuggling instructions through tool outputs, or coaxing the model into calling unsanctioned tools.
- ai-security№ 586
Indirekte Prompt Injection
Variante der Prompt Injection, bei der bösartige Anweisungen in Drittinhalten (Webseiten, Dokumenten, E-Mails) versteckt sind, die ein LLM später über Retrieval, Browsing oder Tools aufnimmt.
- ai-security№ 969
Prompt Injection
Angriff, der die ursprünglichen Anweisungen eines LLM überschreibt, indem adversarieller Text in den Prompt eingeschleust wird, sodass das Modell Schutzmaßnahmen ignoriert oder vom Angreifer gewünschte Aktionen ausführt.
- ai-security№ 689
LLM-Guardrails
Mechanismen, die einschränken, was eine LLM-basierte Anwendung empfangen oder ausgeben darf, und damit Safety-, Sicherheits- und Geschäftsregeln rund um das zugrunde liegende Modell durchsetzen.