Sicherheitsaudit stellt fest, dass Anthropics MCP-Referenzserver anfällig sind und auf Halluzinationen basierende Schwachstellen einführen
Ergebnisse der MCP-Server-Sicherheitsprüfung
Eine umfassende Sicherheitsprüfung von 100 Model Context Protocol (MCP)-Serverpaketen hat erhebliche Sicherheitsprobleme aufgedeckt. Die Prüfung ergab, dass 71 % der Server mit der Note F bewertet wurden, wobei kein Server die Note A erhielt. Dies schließt Anthropics eigene Referenzimplementierungen ein, die oft als "Goldstandard" angesehen werden.
Halluzinationsbasierte Schwachstellen (HBVs)
Die Prüfung identifizierte eine neue Klasse von Schwachstellen namens Halluzinationsbasierte Schwachstellen. Wenn MCP-Tools vage Beschreibungen haben (wie "verwaltet Dateien"), ist Claude gezwungen, Parameter zu erraten. Dies erzeugt sowohl Sicherheitslücken als auch Token-Verschwendung, da Claude in "Denkschleifen" gerät, um die Werkzeuggrenzen zu bestimmen, was Kontextfenster und Nachrichtenlimits aufbraucht.
Spezifische Ergebnisse
- Die Referenzfalle: Offizielle Server für GitHub und Dateisysteme – diejenigen, die Anthropic empfiehlt – erhielten 0/100 Punkte bei Basissicherheitstests. Diese Server erlauben "unbegrenzte" Eingaben, was bedeutet, dass aufgeforderten Agenten aufgrund fehlender interner Sicherheitsbarrieren dazu verleitet werden können, Daten zu löschen oder zu exfiltrieren.
- RCE-Klassen-Risiken: Die Prüfung identifizierte strukturelle Vorläufer von RCE-Schwachstellen ähnlich CVE-2025-68143, die das Ökosystem zuvor betroffen haben.
- Authentifizierungsbeschränkungen: Selbst bei konfiguriertem OAuth bleiben schlecht definierte Tools anfällig. Ausgeklügelte Prompts können Claude in ein Werkzeug für versehentliche oder absichtliche Datenzerstörung verwandeln.
Schutzempfehlungen
- Prüfen Sie Ihre Server: Vertrauen Sie Servern nicht nur, weil sie sich in Anthropics offiziellem Repository befinden.
- Härten Sie Ihre Manifeste: Stellen Sie sicher, dass jedes Tool
minLength,maxLengthund strengepattern-Regex in seinem JSON-Schema hat. - Führen Sie den Scanner aus: Verwenden Sie das Open-Source-Prüftool:
npx @agentsid/scanner
Wesentliche Erkenntnis
Agentische Setups sind wahrscheinlich "standardmäßig anfällig", weil offizielle Vorlagen Flexibilität über Sicherheit stellen. Das ordnungsgemäße Härten von Werkzeugdefinitionen kann sowohl Daten schützen als auch den Token-Verbrauch reduzieren, indem unnötige Denkschleifen verhindert werden.
Das vollständige Whitepaper und die Methodik sind verfügbar unter: https://github.com/stevenkozeniesky02/agentsid-scanner/blob/master/docs/state-of-agent-security-2026.md
📖 Read the full source: r/ClaudeAI
👀 Siehe auch
Sicherheitslücken in der von Lovable präsentierten EdTech-App aufgedeckt
Ein Sicherheitsforscher entdeckte 16 Schwachstellen in einer auf Lovable vorgestellten EdTech-App, darunter kritische Authentifizierungslogikfehler, die 18.697 Nutzerdatensätze ohne Authentifizierung offenlegten. Die App hatte über 100.000 Aufrufe auf Lovables Showcase und echte Nutzer von UC Berkeley, UC Davis und Schulen weltweit.
Agent-Isolationssicherheitsanalyse: Vom Sandbox-freien Ansatz bis hin zu Firecracker-VMs
Analyse, wie Cursor, Claude Code, Devin, OpenAI und E2B Agenten-Workloads isolieren, von keiner Sandbox bis hin zu hardware-isolierten Firecracker-MicroVMs. Container-Runtimes hatten seit 2019 jährlich Escape-CVEs, während Firecracker in sieben Jahren keine Gast-zu-Host-Escapes hatte.
BlindKey: Blinde Anmeldeinformationen-Injektion für KI-Agenten
BlindKey ist ein Sicherheitstool, das KI-Agenten den Zugriff auf Klartext-API-Zugangsdaten verhindert, indem es verschlüsselte Vault-Token und einen lokalen Proxy verwendet. Agenten verweisen auf Token wie bk://stripe, und der Proxy injiziert die echte Zugangsdaten zur Zeit der Anfrage.
Claude-Modelle sind anfällig für Angriffe mit unsichtbaren Unicode-Zeichen, insbesondere bei Tool-Zugriff.
Tests zeigen, dass Claude Sonnet 4 zu 71,2 % mit versteckten Anweisungen in unsichtbaren Unicode-Zeichen konform ist, wenn Tools aktiviert sind, während Opus 4 bei der Unicode-Tags-Kodierung eine 100%ige Konformität erreicht. Der Tool-Zugang erhöht die Anfälligkeit bei allen Claude-Modellen erheblich.