MCP-Paketsicherheitsscan deckt weit verbreitete zerstörerische Fähigkeiten ohne Bestätigung auf
Ein Sicherheitsforscher überprüfte 2.386 MCP-Pakete (Model Context Protocol) auf npm und fand erhebliche Sicherheitsrisiken in der Interaktion von KI-Agenten mit externen Tools. MCP-Pakete ermöglichen es Claude Code, sich mit externen Tools zu verbinden, und nach der Installation erhalten sie vollen Systemzugriff, einschließlich Shell, Dateien, Netzwerk und Umgebungsvariablen.
Wichtigste Ergebnisse der Überprüfung
Die besorgniserregendste Entdeckung: 63,5 % der Pakete geben zerstörerische Operationen ohne menschliche Bestätigung frei. Diese Operationen umfassen das Löschen von Dateien, das Löschen von Datenbanken und das Bereitstellen von Code. Wenn jemand eine bösartige Eingabe in eine Tool-Antwort einschleust, führt der KI-Agent diese zerstörerischen Aktionen aus, ohne um Erlaubnis zu bitten.
Zusätzliche Sicherheitsprobleme
- 49 % der Pakete wiesen insgesamt Sicherheitsprobleme auf
- 402 Schwachstellen mit kritischem Schweregrad
- 240 Schwachstellen mit hohem Schweregrad
- 122 Pakete führen Code automatisch bei
npm installaus - Reale Fälle umfassten SSH-Schlüssel-Diebstahl, Unicode-Prompt-Injection und verzögerte Backdoors
Der Forscher weist darauf hin, dass nicht alle Funde Malware darstellen – die meisten sind "gefährliche Fähigkeiten ohne Sicherheitsvorkehrungen". Allerdings sind 63,5 % der Pakete "nur eine Prompt-Injection von echten Schäden entfernt".
Erkennung und Reaktion
Das Überprüfungstool erreichte 99,4 % Genauigkeit bei 39,9 % Trefferquote – was bedeutet, dass es nahezu keine Fehlalarme gibt, aber noch nicht alles erfasst. Bösartige Muster wurden in Erkennungsregeln umgewandelt, und eine verantwortungsvolle Offenlegung wurde an die betroffenen Parteien gemacht.
Der Forscher entwickelte ATR (Agent Threat Rules) als offenen Standard zur Erkennung dieser Bedrohungen – 61 Erkennungsregeln wurden unter MIT-Lizenz veröffentlicht und sind nicht an ein bestimmtes Tool gebunden. Jeder kann diese Regeln verwenden, um MCP-Pakete zu überprüfen.
Sie können jede Fähigkeit überprüfen, ohne etwas zu installieren, unter panguard.ai – fügen Sie eine GitHub-URL ein und erhalten Sie in 3 Sekunden einen Bericht. Der vollständige Forschungsbericht ist verfügbar unter panguard.ai/research/mcp-ecosystem-scan.
📖 Read the full source: r/ClaudeAI
👀 Siehe auch
Architektonische Lösung für die Überzentralisierung von KI-Agenten: Trennung von Gedächtnis, Ausführung und ausgehenden Aktionen
Ein Entwickler erkannte, dass sein KI-Assistent zu einem 'internen Autokraten' wurde, indem er Langzeitgedächtnis, Werkzeugzugriff und autonome Entscheidungen in einer Komponente vereinte. Die Lösung bestand darin, das System in drei Rollen aufzuteilen: privater Controller, fokussierte Worker und ausgehende Gateways.
Caelguard: Open-Source-Sicherheitsscanner für OpenClaw-Fähigkeiten
Caelguard ist ein unter MIT-Lizenz stehender, lokal ausgeführter Scanner, der Sicherheitsprobleme in OpenClaw-Skills erkennt, einschließlich Prompt-Injection, Credential-Harvesting und verschleierten Payloads. Untersuchungen zeigen, dass etwa 20 % der veröffentlichten Skills besorgniserregende Muster enthalten.
KI-Agent-Produktionslöschungsvorfälle: Das Muster und die Lösung
Produktionslöschvorfälle von PocketOS, Replit und Cursor folgen einem gemeinsamen Zugriffsmuster. Lösung: Agenten erhalten keine Produktionsanmeldedaten; alle Änderungen durchlaufen CI/CD mit einer policy-basierten Bewertungspforte.
arifOS: Ein 15-Millionen-Dollar-MCP-Governance-Kernel für die Sicherheit von OpenClaw-Tools
arifOS ist ein leichtgewichtiger MCP-Server, der OpenClaw-Toolaufrufe abfängt, sie mit 000-999 bewertet und unsichere Aktionen mit 13 harten Sicherheitsstufen blockiert, bevor sie Dateisysteme, APIs oder Datenbanken erreichen.