MCP-Paketsicherheitsscan deckt weit verbreitete zerstörerische Fähigkeiten ohne Bestätigung auf

Ein Sicherheitsforscher überprüfte 2.386 MCP-Pakete (Model Context Protocol) auf npm und fand erhebliche Sicherheitsrisiken in der Interaktion von KI-Agenten mit externen Tools. MCP-Pakete ermöglichen es Claude Code, sich mit externen Tools zu verbinden, und nach der Installation erhalten sie vollen Systemzugriff, einschließlich Shell, Dateien, Netzwerk und Umgebungsvariablen.
Wichtigste Ergebnisse der Überprüfung
Die besorgniserregendste Entdeckung: 63,5 % der Pakete geben zerstörerische Operationen ohne menschliche Bestätigung frei. Diese Operationen umfassen das Löschen von Dateien, das Löschen von Datenbanken und das Bereitstellen von Code. Wenn jemand eine bösartige Eingabe in eine Tool-Antwort einschleust, führt der KI-Agent diese zerstörerischen Aktionen aus, ohne um Erlaubnis zu bitten.
Zusätzliche Sicherheitsprobleme
- 49 % der Pakete wiesen insgesamt Sicherheitsprobleme auf
- 402 Schwachstellen mit kritischem Schweregrad
- 240 Schwachstellen mit hohem Schweregrad
- 122 Pakete führen Code automatisch bei
npm installaus - Reale Fälle umfassten SSH-Schlüssel-Diebstahl, Unicode-Prompt-Injection und verzögerte Backdoors
Der Forscher weist darauf hin, dass nicht alle Funde Malware darstellen – die meisten sind "gefährliche Fähigkeiten ohne Sicherheitsvorkehrungen". Allerdings sind 63,5 % der Pakete "nur eine Prompt-Injection von echten Schäden entfernt".
Erkennung und Reaktion
Das Überprüfungstool erreichte 99,4 % Genauigkeit bei 39,9 % Trefferquote – was bedeutet, dass es nahezu keine Fehlalarme gibt, aber noch nicht alles erfasst. Bösartige Muster wurden in Erkennungsregeln umgewandelt, und eine verantwortungsvolle Offenlegung wurde an die betroffenen Parteien gemacht.
Der Forscher entwickelte ATR (Agent Threat Rules) als offenen Standard zur Erkennung dieser Bedrohungen – 61 Erkennungsregeln wurden unter MIT-Lizenz veröffentlicht und sind nicht an ein bestimmtes Tool gebunden. Jeder kann diese Regeln verwenden, um MCP-Pakete zu überprüfen.
Sie können jede Fähigkeit überprüfen, ohne etwas zu installieren, unter panguard.ai – fügen Sie eine GitHub-URL ein und erhalten Sie in 3 Sekunden einen Bericht. Der vollständige Forschungsbericht ist verfügbar unter panguard.ai/research/mcp-ecosystem-scan.
📖 Read the full source: r/ClaudeAI
👀 Siehe auch

A2A Secure: Wie Entwickler kryptografische Kommunikation zwischen OpenClaw-Agenten aufbauten
Ein neues Protokoll ermoeglicht OpenClaw-Agenten sichere Kommunikation mit Ed25519-Signaturen ohne gemeinsame API-Schluessel.

mcp-scan: Sicherheitsscanner für MCP-Serverkonfigurationen
mcp-scan überprüft MCP-Server-Konfigurationen auf Sicherheitsprobleme, einschließlich Geheimnissen in Konfigurationsdateien, bekannten Schwachstellen in Paketen, verdächtigen Berechtigungsmustern, Exfiltrationsvektoren und Tool-Poisoning-Angriffen. Es erkennt automatisch Konfigurationen für Claude Desktop, Cursor, VS Code, Windsurf und 6 weitere AI-Clients.

Sichere Administrator-Genehmigungsablauf für Gruppen-Chat-Assistenten gegen Prompt-Injection
Ein praktischer Ansatz zur Sicherung von LLM-Assistenten in gemeinsamen Gruppenchats: Pausieren von VM-, OAuth- und Code-Ausführungs-Tools bis zur Admin-Freigabe über einen zeitgesteuerten Link.

Vertraue KI nicht mehr als einem Menschen – Wende dieselben Zugangskontrollen an
In einer Reddit-Diskussion wird argumentiert, dass KI-Coding-Agenten wie Junioren behandelt werden sollten – kein Produktionszugriff, keine direkten Schreibrechte, Durchsetzung von CI/CD-Pipelines und rollenbasierten Berechtigungen.