- *Ein einziger Architekturentscheid in Anthropics Model Context Protocol hat die gesamte KI-Agenten-Infrastruktur zur Angriffsfläche gemacht — 150 Millionen Downloads, über 30 Schwachstellen-Disclosures, zehn kritische CVEs. Anthropics Reaktion: „Expected Behavior."**
Der ruhige Donnerstag, an dem der KI-Boom seinen Sicherheits-Rechnungen bekam
Am 16. April 2026 veröffentlichte das Forschungsteam von OX Security einen Bericht mit dem Titel „The Mother of All AI Supply Chains". Der Name ist keine Übertreibung. Nach fünf Monaten Arbeit legten die israelischen Sicherheitsforscher Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok und Roni Bar einen Befund vor, der ins Herz moderner KI-Infrastruktur trifft: Anthropics offizielles Model Context Protocol SDK enthält einen fundamentalen Designfehler, der Remote Code Execution auf über 200.000 Servern ermöglicht — und der auf Protokollebene bis heute ungepatcht ist.
Die Untersuchung begann im November 2025 als gezielte Analyse eines einzelnen Protokolls. Sie endete als fünfmonatiger Responsible-Disclosure-Marathon: mehr als 30 koordinierte Meldungen, zehn CVEs mit kritischem oder hohem Schweregrad, Live-Demonstrationen von Codeausführung auf aktiven Produktionsplattformen mit echten zahlenden Kunden.
Die technische Wurzel: STDIO als universelle Hintertür
Das Model Context Protocol ist das Rückgrat des KI-Agenten-Ökosystems. Es verbindet Large Language Models mit externen Diensten, Datenquellen und Werkzeugen — von Datenbanken über Code-Repositories bis zu Unternehmens-APIs. Als lokalen Transportmechanismus verwendet MCP STDIO (Standard Input/Output), um MCP-Server als Subprozesse zu starten.
Hier liegt der Fehler: Die Prozessausführungslogik im Anthropic MCP SDK führt jeden übergebenen Betriebssystembefehl aus — unabhängig davon, ob er tatsächlich einen validen MCP-Server startet. Schlägt der Start des gefälschten Servers fehl, gibt der Code zwar einen Fehler zurück. Der Befehl wurde aber bereits ausgeführt. Keine Validierung, keine Sanitisierung, keine Warnung.
Der Fehler ist nicht sprachspezifisch. Er existiert in allen zehn offiziell von Anthropic unterstützten Programmiersprachen — Python, TypeScript, Java, Kotlin, C#, Go, Ruby, Swift, PHP und Rust. Wer auf dem MCP-SDK aufbaut, erbt die Schwachstelle automatisch.
OX Security identifizierte vier distinkte Exploit-Familien:
- *1. Direkte UI-Injection (authentifiziert und unauthentifiziert):** Auf LangFlow — dem Open-Source-Automatisierungs-Framework mit über 915 öffentlich zugänglichen Shodan-Instanzen — war kein Account nötig. Ein frei verfügbares Session-Token reichte für vollständige Serverübernahme. OX meldete den Fund im Januar 2026; LangFlow bestätigte ihn formal erst am 18. März 2026.
- *2. Hardening-Bypass:** Flowise hatte beliebige Befehlsausführung durch Allowlists zu verhindern versucht. OX umging das in einem Schritt: über das `-c`-Flag von npx, das Flowise selbst explizit erlaubt hatte. Die Lektion ist grundlegend — ad-hoc Input-Filtering nützt nichts, wenn die Architektur darunter beliebige Subprocess-Ausführung zulässt.
- *3. Prompt Injection in KI-IDEs:** Windsurf (CVE-2026-30615), Cursor, Claude Code, Gemini-CLI und GitHub Copilot unterstützen MCP-Konfigurationsdateien, die KI-Agenten modifizieren können. Bei Windsurf genügte der Besuch einer bösartigen Website, um ohne einen einzigen Klick beliebige Befehle lokal auszuführen — ein echter Zero-Click-Angriff. Bei den übrigen IDEs ist mindestens eine Nutzerinteraktion erforderlich, was Anthropic, Microsoft und andere Anbieter als Begründung für die Einstufung als „By Design" nutzten.
- *4. Poisoning von MCP-Marktplätzen:** OX lud einen Proof-of-Concept-MCP-Server auf elf große Marktplätze hoch. Neun akzeptierten ihn ohne jede Sicherheitsprüfung. Nur Githubs verwaltete Registry blockierte die Einreichung. Plattformen mit Hunderttausenden monatlicher Besucher hätten diesen Server potenziell an tausende Entwickler ausgeliefert — jede Installation ein RCE-Vehikel.
Die Betroffenen im Überblick
Konkrete Plattformen mit ausgestellten CVEs: LiteLLM (CVE-2026-30623, gepatcht), DocsGPT (CVE-2026-26015, gepatcht), Flowise (GHSA-c9gw-hvqq, gepatcht), Bisheng (CVE-2026-33224, gepatcht), LangFlow, Agent Zero, Fay Framework, GPT Researcher (CVE-2025-65720) sowie Windsurf (CVE-2026-30615) — die einzige Zero-Click-Schwachstelle in der IDE-Kategorie.
Wenn Protokolle zur Waffe werden
Was den OX-Bericht von üblichem Schwachstellen-Research unterscheidet, ist die Systemebene des Problems. MCP ist kein Nischenprodukt. Es ist zur De-facto-Infrastruktur des gesamten KI-Agenten-Ökosystems geworden. Die 150 Millionen Downloads verteilen sich auf tausende Projekte — alle aufbauend auf einem SDK mit unsicherem Default.
Parallel veröffentlichte ein Forscherteam der Johns Hopkins University eine thematisch verwandte Studie: „Comment and Control" beschreibt eine Prompt-Injection-Angriffsfamilie, die Claude Code Security Review, Gemini CLI Action und GitHub Copilot kompromittiert, um API-Keys und GitHub-Tokens zu stehlen. Forscher Aonan Guan zeigte, wie eine manipulierte Pull-Request-Überschrift Anthropics Claude dazu brachte, beliebige Bash-Befehle auszuführen und die Ausgabe als „Security Finding" in einen PR-Kommentar einzubetten. Anthropic zahlte einen Bug-Bounty von 100 US-Dollar, hob den Severity-Score von 9,3 auf 9,4 — und veröffentlichte keine öffentliche Sicherheitswarnung.
Beide Arbeiten zusammen zeichnen dasselbe Bild: Die KI-Branche hat Agenten mit mächtigen Werkzeugzugängen ausgestattet, ohne die Sicherheitsarchitektur proportional mitzubauen. Das Deployment-Tempo überholt das Härtungstempo — mit systemischen Konsequenzen.
Investment-Implikationen: Wer profitiert, wer verliert
- *Strukturell begünstigte Unternehmen:**
Der MCP-Vorfall unterstreicht die wachsende Nachfrage nach spezialisierter AI Agent Security. Startups wie Capsule Security — 7 Millionen US-Dollar Seed im April 2026, Fokus auf Runtime-Security für KI-Agenten — gewinnen durch jeden solchen Vorfall an Marktrelevanz. Der Fall ist ein Lehrbuchbeispiel dafür, warum Agentic Security als eigenständige Kategorie existiert: Klassische SAST/DAST-Tools sind für dieses Angreifermodell strukturell ungeeignet.
- *Etablierte Security-Plattformen:** Anbieter mit breiten Application-Security-Portfolios können den erhöhten Beratungs- und Implementierungsbedarf als kurzfristigen Umsatztreiber verbuchen.
- *Reputationsrisiko für Plattformanbieter:** Anthropics öffentliche Ablehnung eines Root-Patches — trotz 30+ Disclosures — ist kommunikativ gefährlich. Enterprise-Kunden in Finanz, Gesundheit und Verteidigung werden zunehmend Protokoll-Level-Sicherheitsgarantien einfordern. Wer diese nicht liefert, verliert Vertrauen in genau den Segmenten, die am meisten zahlen.
- *MCP-Marktplätze:** Dass neun von elf Plattformen Malware-ähnliche Proof-of-Concept-Server akzeptierten, zeigt ein strukturelles Governance-Defizit. Regulatorische Aufmerksamkeit dürfte folgen — analog zur Debatte um npm- und PyPI-Ecosystem-Sicherheit der vergangenen Jahre.
Sicherheit by Design — oder Schadensbegrenzung auf Raten
Das Paradigma muss sich ändern. Ein Protokoll mit 150 Millionen Downloads und der Funktion einer Infrastrukturschicht kann Sicherheit nicht als optionalen Layer behandeln. OX Securitys zentrale Forderung ist berechtigt: Eine einzige Architekturanpassung auf Protokollebene hätte alle nachgelagerten Projekte, alle Entwickler, alle Endnutzer geschützt.
Stattdessen wurden einzelne Plattformen gepatcht — Flowise, LiteLLM, DocsGPT, Bisheng — während die Wurzel des Problems offen bleibt. Das ist kein Sicherheitsmodell. Das ist Schadensbegrenzung auf Raten.
Für Investoren und Technologen gilt: Weitere MCP-basierte Incidents sind keine Frage des Ob. Die entscheidende Frage ist, welche Plattformen — und welche Sicherheitsanbieter — darauf vorbereitet sind.
- Quellen: OX Security Advisory (16. April 2026), The Register (16.–17. April 2026), Cyber Kendra (16. April 2026), SecurityWeek (16. April 2026)*
