Das Model Context Protocol (MCP) ist noch recht jung, vom November 2024, und seit einiger Zeit tauchen immer häufiger Sicherheitslücken in Verbindung damit auf – und zwar sowohl server- als auch clientseitig. Umgekehrt gibt es Tausende von MCP-Quellen im Netz, die sich mit wenigen Klicks in die eigene KI-Anwendung einbinden lassen.

Eine lange, kuratierte Liste findet sich auf GitHub. Umgekehrt hat Docker eine Liste mit Angriffspunkten und Sicherheitsproblemen gesammelt. Konkrete Beispiele sind ein Angriff über Repositories auf den MCP-Server GitHub oder eine Attacke auf die Cursor IDE via MCP. Mirko Ross, Gründer und CEO der Sicherheitsfirma asvin spricht mit heise developer über die Sicherheit des als „USB-C der KI“ bezeichneten Protokolls.

Mirko, Du beschäftigst Dich schon länger mit der Sicherheit von KI und MCP, wo liegen denn die Hauptschwachstellen Deiner Meinung nach?

MCP ist in Hinblick auf eine einfache Verknüpfung von Applikationen mit GenAI-Modellen hin entworfen worden, das Ganze in einem sich schnell entwickelnden AI-Tech-Umfeld. Die Schwachstelle liegt in der Genese des Protokolls: Das Design von MCP ist auf eine einfache und schnelle Integration ausgelegt, was zulasten der Protokoll- und Systemsicherheit geht. Zudem haben wir generell noch viel zu wenig die Cybersicherheit-Schwachstellen von GenAI-Systemen umfassend begriffen. Wir sehen in einem täglichen Rhythmus, wie Angreifer sich neue Muster und Jailbreak-Attacken ausdenken und anwenden, mit denen die angegriffenen Systeme aus den Sicherheitsschranken ausbrechen. MCP hat im Protokoll keine wirksamen Sicherheitselemente zur Abwehr solcher Angriffe.

Gibt es Risiken, die ihre Ursachen nicht im Protokoll haben, aber bei der Nutzung von MCP dennoch eine Rolle spielen?

Ja, insbesondere Angriffe in der Softwarelieferkette sind eine Gefahr. Angreifer publizieren Bibliotheken für MCP-Clients und Server, die Schadcode enthalten, in öffentlichen Code-Repositorys. Gerade unerfahrene Entwicklerinnen und Entwickler, die nach einem Einstieg in MCP und KI-Agentensystem suchen, sind hier potenzielle Opfer der Angreifer. Ist eine solche Bibliothek einmal integriert, kann der darin enthaltene Schadcode in Firmennetzwerken ausgeführt werden – beispielsweise als Einfallstor für Ransomware-Angriffe.

Mit Void Programming, also wenn GenAI Programmcode für KI-Agenten oder MCP-Services erzeugt, ergeben sich zusätzliche Sicherheitsprobleme: Bereits jetzt kopieren Angreifer populäre Softwarebibliotheken, kompromittieren sie mit Schadcode und publizieren sie unter ähnlich lautenden Namen. Ziel ist es, dass GenAI bei der Codeerzeugung nicht die Originalbibliothek referenziert, sondern die ähnlich benannte schädliche Kopie. Daher gelten auch bei Void Programming die Grundregeln: erstens jede extern eingebundene Quelle auf Vertrauenswürdigkeit prüfen und zweitens den erzeugten Code auf Schadcode scannen, bevor dieser in eine Produktivumgebung gelangt.

Eine erste Korrektur des Protokolls, die Authentifizierung betreffend, gab es Ende April. Hätte man das Protokoll gleich von Anfang an mehr auf Sicherheit optimieren sollen?

MCP wurde in einem aufgeheizten Markt unter hohem Zeitdruck konzipiert. Dabei spielt der Gedanke des MVP – Minimal Viable Product – eine Rolle. Also die schnelle Einführung von Grundfunktionen, die von Anwendern angenommen werden. Aus Sicht der Cybersecurity bedeutet MVP allerdings „Most vulnerability possibilities“.

Es gibt von der OWASP seit kurzem Empfehlungen für den MCP-Einsatz. Bieten sie umfassende Sicherheit für Server- und Client-Anbieter?

Wer sich an die OWASP-Empfehlungen hält, ist sich zumindest der Risiken einer MCP-Integration bewusst und kann damit die entsprechenden technischen Schutzmaßnahmen aufbauen. Einen umfassenden Schutz gibt es allerdings nicht – denn GenAI-Systeme sind leider grundlegend angreifbar und versierte Täter sind sehr kreativ im Design der Angriffe.

Wie kann sich ein Serveranbieter vor Angriffen am besten schützen?

Erstens gilt es, die Grundregeln der Softwareentwicklung zu beachten: Entwicklerinnen und Entwickler müssen alle verwendeten Bibliotheken per SBOM dokumentieren und auf Schadcode scannen. Zweitens müssen sie MCP-basierte Dienste über Authentifizierung einbinden. Dabei müssen die Identitäten der Authentifizierungen gemanagt werden. Und drittens gilt es, die MCP-Dienste in der Applikationsarchitektur von anderen IT-Diensten zu segmentieren und beispielsweise über Zero-Trust-Prinzipien abzusichern.

Inzwischen gibt es große Sammlungen an einsatzbereiten Servern, die jedermann mit ein paar Klicks einbinden kann. Welche Risiken bestehen denn für die Clients beim Anzapfen von MCP-Quellen?

Sehr erfolgreiche Jailbreak-Angriffe auf GenAI arbeiten mit schädlichen Prompts, die die Angreifer beispielsweise in Dateien verstecken. Soll beispielsweise eine GenAI eine Zusammenfassung einer Word- oder PowerPoint-Datei erstellen, wird der darin versteckte Prompt vom KI-Agenten ausgeführt. Wir müssen lernen, dass wir solche Dateien auf schädliche Prompts überprüfen, bevor wir sie der GenAI zur Bearbeitung übergeben.

Worauf sollte man achten, wenn man MCP-Quellen einbinden will?

Generell gilt: nur Quellen einbinden, die als vertrauensvoll gelten und über eine gute Reputation verfügen. Unbekannte Quellen sollte man nicht einbinden.

Mirko, vielen Dank für das Gespräch!

(who)

Richard Seidl und Lars Luthmann gehen in dieser Folge des Podcasts Software Testing der Frage nach, welche Bedeutung „Developer Friendliness“ in der Softwareentwicklung hat. Sie plaudern darüber, wie ein angenehmes Arbeitsklima und geeignete Werkzeuge, wie Testschnittstellen und Testdatengeneratoren, den Alltag von Entwicklerinnen und Entwicklern erleichtern können.

Lars Luthmann teilt Einblicke aus einem Automobilprojekt, in dem innovative Ansätze wie REST-Schnittstellen und Mock-Services den Testprozess optimierten.

„Wenn man diese Maßnahmen dann umsetzt und die am Ende tatsächlich auch den Nutzen haben, den man denkt, dann spart man langfristig Zeit. Und das ist eben der eine ganz wichtige Punkt meiner Meinung nach.“ – Lars Luthmann

Bei diesem Podcast dreht sich alles um Softwarequalität: Ob Testautomatisierung, Qualität in agilen Projekten, Testdaten oder Testteams – Richard Seidl und seine Gäste schauen sich Dinge an, die mehr Qualität in die Softwareentwicklung bringen.

Die aktuelle Ausgabe ist auch auf Richard Seidls Blog verfügbar: „Developer Friendliness für bessere Software – Lars Luthmann“ und steht auf YouTube bereit.

(mdo)

Signal und Whatsapp verschlüsseln Nachrichten Ende-zu-Ende, was bedeutet, dass sie auf der gesamten Reise von Sender zu Empfänger verschlüsselt bleiben. Das gilt für die Inhalte. Doch andere Informationen lassen sich mit etwas Aufwand durchaus ernten; auf der IT-Sicherheitsmesse DEFCON 2025 haben am Sonntag (Ortszeit) die österreichischen Sicherheitsforscher Gabriel Gegenhuber und Maximilian Günther ihre Sidechannel- und Protokoll-Angriffe vorgestellt.

Wie sich zeigt, verraten Zustellbestätigungen Signals und Whatsapps einiges über die eingesetzten Endgeräte und deren Zustand. Zustellbestätigungen sind nicht zu verwechseln mit Lesebestätigungen, die jeder Nutzer in den Einstellungen seiner App abschalten kann. Die Zustellbestätigungen sind unabdingbar für den Dienst, damit dieser sich nicht endlos müht, bereits zugestellte Nachrichten zuzustellen.

Allein schon die Laufzeit (Round-trip Time, RTT) der Zustellbestätigung lässt mehr Rückschlüsse zu, als der Laie annehmen würde. Dauert es sehr lange, ist das Gerät offline. Doch schon Schwankungen im Sekundenbereich verraten den Zustand des Empfangsgerätes: Am schnellsten geht es, wenn die App gerade im Vordergrund ist, also wahrscheinlich benutzt wird. Langsamer geht es, wenn sie nicht im Vordergrund ist, und noch langsamer, wenn der Bildschirm aus oder der Browsertab inaktiv ist.

Diese Streuung ist noch dazu je nach Endgerätemodell, Verbindungsmethode (LAN, WLAN oder Mobilfunk) und Zustand (wird mit dem Handy gerade telefoniert oder nicht) unterschiedlich. Dem nicht genug: Die Übermittlung der Bestätigungen ist für unterschiedliche Geräteklassen unterschiedlich implementiert. So werden die Zustellbestätigungen für Whatsapp und Signal von Smartphone-Apps (Android, iOS) einzeln übermittelt, bei den Desktop-Varianten der Dienste allerdings in Gruppen – und bei Whatsapp für MacOS in gestürzter Reihenfolge.

Rückschlüsse auf Aufenthaltsort

Angreifer können sich durch Daten aus Testserien mit eigenen Geräten Datenbanken anlegen, um später von Angriffszielen gewonnene Daten abgleichen zu können. Damit ließe sich auf einen Blick sagen, was für Geräte unter einem Whatsapp- oder Signal-Konto genutzt werden und in welchem Zustand sie sich wahrscheinlich gerade befinden. Das lässt weitere Rückschlüsse zu: Ist beispielsweise ein bestimmtes Desktopgerät oder eine bestimmte Browserinstanz regelmäßig zu Bürozeiten online, kann bei eintreffenden Zustellbestätigungen unter Umständen auf den Aufenthaltsort des Zieles geschlossen werden. Umgekehrt lassen Zustellbestätigungen von einem meist nur Abends oder am Wochenende genutzten Desktoprechner auf den Aufenthalt zu Hause schließen.

Die Anzahl der unter einem Konto registrierten Geräte ist sogar noch einfacher festzustellen: Die Schlüsselserver von Whatsapp und Signal vergeben fortlaufende Nummern, wobei 0 respektive 1 das „Hauptgerät“ anzeigt. Höhere Nummern sind zusätzliche Geräte, sodass der Angreifer auch danach unterscheiden kann.

Heimliche Nachrichtenflut

Für den Erkenntnisgewinn sind allerdings Serien von Zustellbestätigungen erforderlich. Eine einzelne Messung sagt höchstens aus, ob das Gerät online ist. Würde es dem Opfer nicht auffallen, von einer Lawine an Nachrichten eingedeckt zu werden? Nein, denn es ist möglich, speziell strukturierte Nachrichten an Teilnehmer von Whatsapp und Signal zu schicken, die zwar Zustellbestätigungen auslösen, am Endgerät aber nicht angezeigt werden. Dafür haben die Forscher alternative Implementierungen der Anwendungen genutzt.

Also kann ein Angreifer eine lange Serie stiller „Pings“ an ein Ziel schicken, von dem er lediglich die Telefonnummer oder den Nutzernamen kennt, ohne dass es auffällt. Die Signal-Infrastruktur hat immerhin eine Begrenzung auf eine Nachricht alle zwei Sekunden eingebaut, bei Whatsapp konnten die Österreicher gar kein Rate Limiting ausmachen. Die Observation ist damit engmaschig über lange Zeiträume hinweg möglich.

Somit kann aus der Ferne eruiert werden, auf wie vielen Endgeräte ein Opfer sein Whatsapp- oder Signal-Konto nutzt, mit welchen Arten von Geräten und Betriebssystemen, zu welchen Uhrzeiten, und in welchem Betriebszustand diese gerade sind, samt Übertragungsmethode und vielleicht Aufenthaltsort. Das ermöglicht digitales Stalking ebenso wie die Auswahl von Malware für einen gezielten Angriff über einen anderen Kanal; zudem können die Informationen dabei helfen, einen körperlichen Überfall genau dann durchzuführen, wenn das Zielgerät entsperrt ist, was insbesondere Sicherheitsbehörden und Geheimdiensten hilft.