MCP-Protokoll-Sicherheitsaudit deckt kritische Schwachstellen auf, Prompt-Injection umgeht 12 große LLM-Schutzmechanismen, Agentisches DAST übertrifft manuelle Pentester
Trail of Bits und NCC Group decken Tool-Chain-Poisoning in Anthropics MCP-Protokoll auf, das über 40.000 Deployments betrifft. ETH Zürichs CRESCENDO-2 umgeht Schutzmechanismen in 12 großen LLMs. Stanford-Studie zeigt: KI-Agenten übertreffen menschliche Pentester. KI-Modell-Lieferketten-Angriffe steigen um 340%.
🔴 Kritisch: MCP-Protokoll-Sicherheitsaudit deckt Tool-Chain-Poisoning auf
Ein umfassendes Sicherheitsaudit von Anthropics Model Context Protocol (MCP) — mittlerweile in über 40.000 KI-Agenten-Deployments eingesetzt — enthüllt eine Klasse von Schwachstellen, die es Angreifern ermöglichen, Tool-Beschreibungen zu manipulieren, bösartige Anweisungen über Parameter-Schemas einzuschleusen und die Entscheidungsfindung von Agenten durch sogenanntes „Tool-Chain-Poisoning" zu kapern.
Das von Trail of Bits und NCC Group gemeinsam durchgeführte Audit identifizierte drei Angriffskategorien:
Tool Description Injection (TDI)
MCP-Server-Manifeste enthalten lesbare Beschreibungen für jedes Tool. Da LLM-basierte Agenten diese als Teil ihres Reasoning-Kontexts verarbeiten, kann ein Angreifer, der einen MCP-Server kontrolliert, gegnerische Anweisungen direkt in Tool-Beschreibungen einbetten. In Tests erzielten die Forscher eine Erfolgsquote von 94% bei der Umleitung des Agentenverhaltens.
Schema-Parameter-Smuggling
JSON-Schema-Definitionen für Tool-Parameter können description-, default- und examples-Felder enthalten. Diese werden vom LLM bei der Parameterkonstruktion verwendet, aber selten validiert. Forscher demonstrierten die Exfiltration sensibler Daten durch eingebettete Anweisungen in Parameterbeschreibungen.
Cross-Server-Privilegieneskalation
Wenn Agenten gleichzeitig mit mehreren MCP-Servern verbunden sind, kann ein bösartiger Server den Agenten anweisen, Tools auf anderen verbundenen Servern aufzurufen. Die MCP-Spezifikation verfügt derzeit über keine Cross-Origin-Isolation.
Auswirkungen: Die Schwachstellen betreffen jedes Deployment, bei dem MCP-Server von Drittanbietern stammen oder Server-Manifeste nicht kryptografisch verifiziert werden.
Maßnahmen: Tool-Description-Pinning implementieren, Parameter-Schema-Validierung auf Client-Ebene und Server-Isolation durch separate Agenten-Kontexte. Anthropic hat die Ergebnisse bestätigt und erklärt, dass MCP-Spezifikation v2026.04 obligatorische Tool-Manifest-Signaturen einführen wird.
🔴 Kritisch: Universelle Prompt-Injection umgeht 12 große LLM-Schutzmechanismen
Forscher des AI Security Lab der ETH Zürich haben „CRESCENDO-2" veröffentlicht — ein erweitertes Prompt-Injection-Framework, das systematisch die Sicherheitsschranken in 12 großen LLM-Systemen umgeht, darunter GPT-4o, Claude 3.5, Gemini 1.5 Pro, Llama 3.1 405B und Mistral Large.
CRESCENDO-2 nutzt einen gradientenfreien Optimierungsansatz, der den Gesprächskontext über 5-8 Runden progressiv umformt. Jede einzelne Runde erscheint völlig harmlos, doch der kumulative Kontext schafft eine semantische Umgebung, in der das Sicherheitstraining des Modells weniger einflussreich wird.
Wichtige Erkenntnisse
- Bypass-Rate: 78% im Durchschnitt über alle 12 Modelle (62% bei Claude 3.5 Sonnet bis 91% bei zwei unbenannten Open-Source-Modellen)
- Erkennungsumgehung: Bestehende Erkennungssysteme erkannten CRESCENDO-2 nur in 12% der Fälle
- Übertragbarkeit: Für ein Modell optimierte Angriffssequenzen funktionierten bei anderen mit 45% Erfolgsrate
- Automatisierungspotenzial: Die gesamte Angriffssequenz kann von einem separaten LLM generiert werden
🟠 Hoch: Agentisches DAST übertrifft manuelle Pentester in Stanford-Studie
Eine wegweisende Studie des Stanford Computer Security Lab vergleicht drei führende agentische DAST-Plattformen mit erfahrenen menschlichen Penetrationstestern über 15 maßgeschneiderte Webanwendungen mit je 20 bekannten Schwachstellen.
| Metrik | Menschliche Pentester (Ø) | Agentisches DAST (Best) | Agentisches DAST (Ø) |
|---|---|---|---|
| Gefundene Schwachstellen (von 20) | 14,2 | 17 | 15,8 |
| Benötigte Zeit | 8,5 Stunden | 47 Minuten | 1,2 Stunden |
| False Positives | 2,1 | 3 | 4,2 |
| Geschäftslogik-Fehler | 4,8 von 5 | 2 von 5 | 1,4 von 5 |
| Berichtsqualität (1-10) | 8,7 | 7,2 | 6,1 |
Kernaussage: Der hybride Mensch-KI-Ansatz fand 19,1 von 20 Schwachstellen im Durchschnitt — 35% mehr als Menschen allein und 21% mehr als KI allein.
🟡 Forschung: Angriffe auf KI-Modell-Lieferketten steigen um 340% in Q1 2026
- Hugging-Face-Typosquatting: 847 bösartige Modell-Repositories identifiziert
- PyPI-Vergiftung: 1.243 bösartige Pakete, die ML-Workflows angreifen
- Gradient-Datei-Exploits: Manipulierte SafeTensors- und GGUF-Dateien lösen Buffer Overflows aus
🟡 Aufkommend: Zero-Knowledge-Beweise für KI-Audit-Trails gewinnen an Bedeutung
Unternehmen setzen zunehmend auf Zero-Knowledge-Proof-Systeme (ZKP) für verifizierbare KI-Audit-Trails, ohne proprietäre Modelldetails offenzulegen. Drei Fortune-100-Unternehmen haben in diesem Quartal ZKP-basierte KI-Audit-Implementierungen gemeldet, angetrieben durch die EU-KI-Verordnungs-Transparenzanforderungen.
Kensai-Empfehlungen
- KI/ML-Teams mit MCP: Alle verbundenen MCP-Server auditieren; Tool-Description-Pinning und Parameter-Schema-Validierung sofort implementieren
- Enterprise-LLM-Deployments: Nicht nur auf Guardrails verlassen — Output-Filterung und deterministische Aktionsautorisierung implementieren
- Sicherheitsteams: Hybride Mensch-KI-Penetrationstests für maximale Abdeckung
- ML-Betrieb: Supply-Chain-Sicherheit für Modell-Registries mit gleicher Strenge wie bei Code-Abhängigkeiten
- Compliance-Teams: ZKP-Lösungen für EU-KI-Verordnung evaluieren