MÜNCHEN (IT BOLTWISE) – Die rasante Entwicklung der Künstlichen Intelligenz (KI) bringt nicht nur Fortschritte, sondern auch neue Herausforderungen mit sich. Jüngste Forschungen zeigen, wie das Model Context Protocol (MCP) sowohl für Angriffe als auch zur Verteidigung genutzt werden kann.
Die Künstliche Intelligenz (KI) entwickelt sich in rasantem Tempo weiter, und mit ihr die Technologien, die sie unterstützen. Eine der neuesten Entwicklungen ist das Model Context Protocol (MCP), das von Anthropic im November 2024 eingeführt wurde. Dieses Protokoll verbindet große Sprachmodelle (LLMs) mit externen Datenquellen und Diensten, um die Genauigkeit und Relevanz von KI-Anwendungen zu verbessern. Doch mit diesen Fortschritten kommen auch neue Risiken, wie eine aktuelle Studie von Tenable zeigt.
Das MCP folgt einer Client-Server-Architektur, die es ermöglicht, dass Hosts mit MCP-Clients wie Claude Desktop oder Cursor mit verschiedenen MCP-Servern kommunizieren. Diese Server bieten spezifische Werkzeuge und Fähigkeiten an. Während das offene Standardprotokoll eine einheitliche Schnittstelle bietet, um auf verschiedene Datenquellen zuzugreifen und zwischen LLM-Anbietern zu wechseln, birgt es auch Risiken wie übermäßige Berechtigungen und indirekte Prompt-Injection-Angriffe.
Ein Beispiel für eine solche Bedrohung ist ein MCP für Gmail, das mit Googles E-Mail-Dienst interagiert. Ein Angreifer könnte bösartige Nachrichten mit versteckten Anweisungen senden, die, wenn sie vom LLM verarbeitet werden, unerwünschte Aktionen auslösen, wie das Weiterleiten sensibler E-Mails an eine unter ihrer Kontrolle stehende Adresse. Darüber hinaus ist MCP anfällig für sogenannte Tool-Poisoning-Angriffe, bei denen bösartige Anweisungen in Werkzeugbeschreibungen eingebettet werden, die für LLMs sichtbar sind.
Ein weiteres Risiko besteht in der Möglichkeit von Rug-Pull-Angriffen, bei denen ein MCP-Tool zunächst harmlos funktioniert, sein Verhalten jedoch später durch ein zeitverzögertes bösartiges Update ändert. SentinelOne weist darauf hin, dass die Berechtigungen, die einem Tool gewährt werden, ohne erneute Aufforderung des Benutzers wiederverwendet werden können. Schließlich besteht auch die Gefahr der Kreuzkontamination zwischen Tools oder der Schattenwirkung von Tools über verschiedene Server hinweg, was zu neuen Wegen der Datenexfiltration führen kann.
Die neuesten Erkenntnisse von Tenable zeigen jedoch auch, dass das MCP-Framework genutzt werden kann, um ein Tool zu erstellen, das alle MCP-Tool-Funktionsaufrufe protokolliert, indem es eine speziell gestaltete Beschreibung enthält, die das LLM anweist, dieses Tool vor allen anderen Tools einzufügen. Dies bedeutet, dass die Prompt-Injection für einen guten Zweck manipuliert wird, nämlich um Informationen über das Tool zu protokollieren, das ausgeführt werden sollte, einschließlich des MCP-Servernamens, des MCP-Toolnamens und der Benutzeraufforderung, die das LLM veranlasste, dieses Tool auszuführen.
Ein weiterer Anwendungsfall besteht darin, eine Beschreibung in ein Tool einzubetten, um es in eine Art Firewall zu verwandeln, die das Ausführen nicht autorisierter Tools blockiert. Sicherheitsforscher Ben Smith betont, dass Tools in den meisten MCP-Host-Anwendungen eine ausdrückliche Genehmigung erfordern sollten. Dennoch gibt es viele Möglichkeiten, wie Tools verwendet werden können, um Dinge zu tun, die nicht strikt durch die Spezifikation verstanden werden. Diese Methoden basieren auf LLM-Prompting über die Beschreibung und Rückgabewerte der MCP-Tools selbst.
Die Offenlegung erfolgt zu einem Zeitpunkt, an dem Trustwave SpiderLabs enthüllt hat, dass das neu eingeführte Agent2Agent (A2A) Protokoll, das die Kommunikation und Interoperabilität zwischen agentischen Anwendungen ermöglicht, anfällig für neuartige Angriffe ist, bei denen das System so manipuliert werden kann, dass alle Anfragen an einen bösartigen KI-Agenten weitergeleitet werden, indem über seine Fähigkeiten gelogen wird.
A2A wurde von Google als Möglichkeit angekündigt, damit KI-Agenten über isolierte Datensysteme und Anwendungen hinweg arbeiten können, unabhängig vom verwendeten Anbieter oder Framework. Während MCP LLMs mit Daten verbindet, verbindet A2A einen KI-Agenten mit einem anderen. Sie sind also komplementäre Protokolle. Sicherheitsforscher Tom Neaves erklärt, dass, wenn ein Agent durch eine andere Schwachstelle kompromittiert wurde, der kompromittierte Knoten genutzt werden kann, um eine Agentenkarte zu erstellen und die Fähigkeiten zu übertreiben, sodass der Host-Agent diesen bei jeder Aufgabe auswählt und alle sensiblen Benutzerdaten sendet, die dann analysiert werden sollen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Software-Entwickler SAP Vermittler Provision (all genders) KI, HH, MS, DUS, DET
Senior Data Scientist * Generative AI
Senior Data Analyst - KI & Automatisierung (m/w/d)
Fachinformatiker KI-Testingenieur & High Performance-Computing (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "MCP-Protokoll: Chancen und Risiken für KI-Sicherheit" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "MCP-Protokoll: Chancen und Risiken für KI-Sicherheit" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »MCP-Protokoll: Chancen und Risiken für KI-Sicherheit« bei Google Deutschland suchen, bei Bing oder Google News!