Zurück zur Startseite

MCP-Schwachstelle von Anthropic: RCE und Doppelmoral

Analyse der kritischen Schwachstelle im Anthropic MCP-Protokoll, die Remote-Code-Ausführung ermöglicht. Das Unternehmen weigerte sich, sie zu beheben, trotz verantwortungsvoller Offenlegung, und promotet weiterhin KI als Werkzeug zur Erkennung von Schwachstellen anderer.

Anthropic ignoriert RCE in seinem MCP-Protokoll — so funktioniert es
Advertisement 728x90

Sicherheitslücke im MCP-Protokoll von Anthropic: Warum das Unternehmen RCE in seinem Stack ignoriert

Forscher von OX Security haben eine kritische Sicherheitslücke im Model Context Protocol (MCP) von Anthropic entdeckt, die eine Remote-Code-Ausführung (RCE) über lokale Server ermöglicht. Trotz mehr als 30 Runden verantwortungsvoller Offenlegung seit November 2025 weigert sich Anthropic, architektonische Änderungen umzusetzen, und bezeichnet das Verhalten als „erwartet“. In der Zwischenzeit bewirbt das Unternehmen seine KI-Modelle aktiv als Werkzeuge zur Erkennung von Schwachstellen in Drittanbieter-Projekten.

Architektonischer Fehler im Kern von MCP

Das MCP-Protokoll ist für die Interaktion zwischen KI-Agenten und externen Tools konzipiert, indem es lokale Subprozesse startet. Das Problem tritt bei der Befehlsverarbeitung auf: Statt den ausführbaren Pfad streng zu validieren, akzeptiert das Protokoll jeden String als Befehl. Wenn der Befehl erfolgreich ist und einen Port öffnet, gilt er als gültig. Andernfalls wird ein Fehler zurückgegeben – aber der Befehl wurde bereits ausgeführt. Dadurch ist eine willkürliche Code-Ausführung auf dem Host-System ohne weitere Überprüfungen möglich.

Die Schwachstelle betrifft alle offiziellen Anthropic-SDKs – Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP und Rust. Jeder Entwickler, der MCP nutzt, erbt dieses Risiko automatisch. OX Security schätzt, dass bis zu 200.000 Server und ein Ökosystem mit über 150 Millionen SDK-Downloads betroffen sind.

Google AdInline article slot

Vier Angriffsvektoren

Das OX-Team hat vier primäre Wege identifiziert, die Schwachstelle auszunutzen:

  • Direkter Zugriff über Weboberfläche – Fehlende Authentifizierung und Filterung ermöglichen Angreifern, willkürliche Befehle über LangFlow (IBM) und GPT Researcher-Oberflächen auszuführen.
  • Umgehung von Whitelists – Selbst wenn nur sichere Utilities erlaubt sind (z. B. npx), können Angreifer Malware über Befehlsargumente einschleusen. Upsonic und Flowise sind anfällig.
  • KI-Code-Editoren – Tools wie Cursor, Windsurf, Claude Code, Gemini-CLI und GitHub Copilot können Konfigurationen mit Exploits automatisch übernehmen. Ein CVE wurde nur für Windsurf herausgegeben; andere Anbieter, einschließlich Google und Microsoft, haben das Problem nicht anerkannt.
  • Manipulierte Pakete in MCP-Katalogen – Forscher haben Exploit-Pakete in 9 von 11 öffentlichen Marktplätzen hochgeladen. Nur GitHubs verwaltetes Registry hat die Einreichung abgelehnt.

Doppelmoral bei der Sicherheit

Anthropic positioniert sein Claude Opus 4.6-Modell als Führer bei der Schwachstellenerkennung: Laut dem Unternehmen hat es über 500 zuvor unbekannte Bugs in populären Open-Source-Bibliotheken aufgedeckt. Im April 2026 startete Project Glasswing mit dem noch leistungsstärkeren Mythos-Modell, das Zero-Days im Linux-Kernel, FreeBSD, OpenBSD, FFmpeg und großen Browsern erkennt.

Trotz dieser Behauptungen ignoriert das Unternehmen seine eigene kritische Schwachstelle. Nach dem ersten Bericht von OX Security hat Anthropic lediglich eine Warnung in seine SECURITY.md-Datei hinzugefügt: „STDIO-Adapter sollten vorsichtig verwendet werden.“ Forscher argumentieren, dass dies das architektonische Problem nicht behebt.

Google AdInline article slot

Empfehlungen und aktueller Status

Bis ein offizieller Patch erscheint, empfiehlt OX Security:

  • MCP-Dienste nicht öffentlich freizugeben;
  • Alle eingehenden Konfigurationen und Befehle streng zu validieren;
  • MCP-Prozesse in isolierten Umgebungen mit minimalen Rechten auszuführen (z. B. über gVisor oder Firecracker).

Mehrere Projekte haben bereits eigene Korrekturen veröffentlicht: LiteLLM, DocsGPT, Flowise und Bisheng. Plattformen wie LangFlow, Agent Zero und Fay Framework bleiben jedoch anfällig. Anthropic beharrt weiterhin darauf, dass das Protokoll wie vorgesehen funktioniert, und plant keine Änderungen.

Wichtige Erkenntnisse

  • Die MCP-Schwachstelle ermöglicht RCE durch unkontrollierte Befehlsausführung beim Start lokaler Server.
  • Alle offiziellen Anthropic-SDKs sind betroffen – es handelt sich um ein systemisches Problem, nicht um ein isoliertes.
  • Anthropic hat architektonische Korrekturen trotz 30+ Runden verantwortungsvoller Offenlegung abgelehnt.
  • Das Unternehmen bewirbt KI zur Suche nach Schwachstellen anderer, ignoriert aber seine eigenen.
  • Entwickler sollten MCP-Prozesse isolieren und externen Konfigurationen nicht vertrauen.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Weiterlesen