剣 KENSAI
← All posts · research · 2026-04-04 · 4 min

MCP-Protokoll-Sicherheitsaudit deckt kritische Schwachstellen auf, Prompt-Injection umgeht 12 große LLM-Schutzmechanismen, Agentisches DAST übertrifft manuelle Pentester

Trail of Bits und NCC Group decken Tool-Chain-Poisoning in Anthropics MCP-Protokoll auf, das über 40.000 Deployments betrifft. ETH Zürichs CRESCENDO-2 umgeht Schutzmechanismen in 12 großen LLMs. Stanford-Studie zeigt: KI-Agenten übertreffen menschliche Pentester. KI-Modell-Lieferketten-Angriffe steigen um 340%.


🔴 Kritisch: MCP-Protokoll-Sicherheitsaudit deckt Tool-Chain-Poisoning auf

Ein umfassendes Sicherheitsaudit von Anthropics Model Context Protocol (MCP) — mittlerweile in über 40.000 KI-Agenten-Deployments eingesetzt — enthüllt eine Klasse von Schwachstellen, die es Angreifern ermöglichen, Tool-Beschreibungen zu manipulieren, bösartige Anweisungen über Parameter-Schemas einzuschleusen und die Entscheidungsfindung von Agenten durch sogenanntes „Tool-Chain-Poisoning" zu kapern.

Das von Trail of Bits und NCC Group gemeinsam durchgeführte Audit identifizierte drei Angriffskategorien:

Tool Description Injection (TDI)

MCP-Server-Manifeste enthalten lesbare Beschreibungen für jedes Tool. Da LLM-basierte Agenten diese als Teil ihres Reasoning-Kontexts verarbeiten, kann ein Angreifer, der einen MCP-Server kontrolliert, gegnerische Anweisungen direkt in Tool-Beschreibungen einbetten. In Tests erzielten die Forscher eine Erfolgsquote von 94% bei der Umleitung des Agentenverhaltens.

Schema-Parameter-Smuggling

JSON-Schema-Definitionen für Tool-Parameter können description-, default- und examples-Felder enthalten. Diese werden vom LLM bei der Parameterkonstruktion verwendet, aber selten validiert. Forscher demonstrierten die Exfiltration sensibler Daten durch eingebettete Anweisungen in Parameterbeschreibungen.

Cross-Server-Privilegieneskalation

Wenn Agenten gleichzeitig mit mehreren MCP-Servern verbunden sind, kann ein bösartiger Server den Agenten anweisen, Tools auf anderen verbundenen Servern aufzurufen. Die MCP-Spezifikation verfügt derzeit über keine Cross-Origin-Isolation.

Auswirkungen: Die Schwachstellen betreffen jedes Deployment, bei dem MCP-Server von Drittanbietern stammen oder Server-Manifeste nicht kryptografisch verifiziert werden.

Maßnahmen: Tool-Description-Pinning implementieren, Parameter-Schema-Validierung auf Client-Ebene und Server-Isolation durch separate Agenten-Kontexte. Anthropic hat die Ergebnisse bestätigt und erklärt, dass MCP-Spezifikation v2026.04 obligatorische Tool-Manifest-Signaturen einführen wird.

🔴 Kritisch: Universelle Prompt-Injection umgeht 12 große LLM-Schutzmechanismen

Forscher des AI Security Lab der ETH Zürich haben „CRESCENDO-2" veröffentlicht — ein erweitertes Prompt-Injection-Framework, das systematisch die Sicherheitsschranken in 12 großen LLM-Systemen umgeht, darunter GPT-4o, Claude 3.5, Gemini 1.5 Pro, Llama 3.1 405B und Mistral Large.

CRESCENDO-2 nutzt einen gradientenfreien Optimierungsansatz, der den Gesprächskontext über 5-8 Runden progressiv umformt. Jede einzelne Runde erscheint völlig harmlos, doch der kumulative Kontext schafft eine semantische Umgebung, in der das Sicherheitstraining des Modells weniger einflussreich wird.

Wichtige Erkenntnisse

🟠 Hoch: Agentisches DAST übertrifft manuelle Pentester in Stanford-Studie

Eine wegweisende Studie des Stanford Computer Security Lab vergleicht drei führende agentische DAST-Plattformen mit erfahrenen menschlichen Penetrationstestern über 15 maßgeschneiderte Webanwendungen mit je 20 bekannten Schwachstellen.

MetrikMenschliche Pentester (Ø)Agentisches DAST (Best)Agentisches DAST (Ø)
Gefundene Schwachstellen (von 20)14,21715,8
Benötigte Zeit8,5 Stunden47 Minuten1,2 Stunden
False Positives2,134,2
Geschäftslogik-Fehler4,8 von 52 von 51,4 von 5
Berichtsqualität (1-10)8,77,26,1

Kernaussage: Der hybride Mensch-KI-Ansatz fand 19,1 von 20 Schwachstellen im Durchschnitt — 35% mehr als Menschen allein und 21% mehr als KI allein.

🟡 Forschung: Angriffe auf KI-Modell-Lieferketten steigen um 340% in Q1 2026

🟡 Aufkommend: Zero-Knowledge-Beweise für KI-Audit-Trails gewinnen an Bedeutung

Unternehmen setzen zunehmend auf Zero-Knowledge-Proof-Systeme (ZKP) für verifizierbare KI-Audit-Trails, ohne proprietäre Modelldetails offenzulegen. Drei Fortune-100-Unternehmen haben in diesem Quartal ZKP-basierte KI-Audit-Implementierungen gemeldet, angetrieben durch die EU-KI-Verordnungs-Transparenzanforderungen.


Kensai-Empfehlungen

  1. KI/ML-Teams mit MCP: Alle verbundenen MCP-Server auditieren; Tool-Description-Pinning und Parameter-Schema-Validierung sofort implementieren
  2. Enterprise-LLM-Deployments: Nicht nur auf Guardrails verlassen — Output-Filterung und deterministische Aktionsautorisierung implementieren
  3. Sicherheitsteams: Hybride Mensch-KI-Penetrationstests für maximale Abdeckung
  4. ML-Betrieb: Supply-Chain-Sicherheit für Modell-Registries mit gleicher Strenge wie bei Code-Abhängigkeiten
  5. Compliance-Teams: ZKP-Lösungen für EU-KI-Verordnung evaluieren