MCP: Sicherheitsrisiken und Chancen für KI-Entwicklungen

MÜNCHEN (IT BOLTWISE) – Die rasante Entwicklung der Künstlichen Intelligenz (KI) bringt nicht nur neue Möglichkeiten, sondern auch Herausforderungen mit sich. Ein aktueller Bericht zeigt, wie das Model Context Protocol (MCP) sowohl für Angriffe als auch zur Verteidigung genutzt werden kann.

Die Künstliche Intelligenz (KI) entwickelt sich in einem atemberaubenden Tempo weiter, und mit ihr entstehen neue Technologien und Protokolle, die sowohl Chancen als auch Risiken bergen. Ein aktueller Bericht zeigt, wie das Model Context Protocol (MCP), das im November 2024 von Anthropic eingeführt wurde, sowohl für Angriffe als auch zur Verteidigung genutzt werden kann. MCP ist ein Framework, das entwickelt wurde, um große Sprachmodelle (LLMs) mit externen Datenquellen und Diensten zu verbinden. Es ermöglicht die Nutzung von modellgesteuerten Tools, um die Genauigkeit, Relevanz und Nützlichkeit von KI-Anwendungen zu verbessern. Das Protokoll folgt einer Client-Server-Architektur, die es Hosts mit MCP-Clients wie Claude Desktop oder Cursor erlaubt, mit verschiedenen MCP-Servern zu kommunizieren. Diese Server bieten spezifische Tools und Fähigkeiten an. Während der offene Standard eine einheitliche Schnittstelle bietet, um auf verschiedene Datenquellen zuzugreifen und sogar zwischen LLM-Anbietern zu wechseln, bringt er auch neue Risiken mit sich. Diese reichen von übermäßigen Berechtigungsumfängen bis hin zu indirekten Prompt-Injection-Angriffen. Ein Beispiel dafür ist ein MCP für Gmail, das mit dem E-Mail-Dienst von Google interagiert. Ein Angreifer könnte bösartige Nachrichten senden, die versteckte Anweisungen enthalten. Diese könnten, wenn sie vom LLM analysiert werden, unerwünschte Aktionen auslösen, wie das Weiterleiten sensibler E-Mails an eine unter ihrer Kontrolle stehende Adresse. MCP ist auch anfällig für sogenannte Tool-Poisoning-Angriffe, bei denen bösartige Anweisungen in Tool-Beschreibungen eingebettet sind, die für LLMs sichtbar sind. Rug-Pull-Angriffe treten auf, wenn ein MCP-Tool zunächst harmlos funktioniert, sein Verhalten jedoch später durch ein zeitverzögertes bösartiges Update ändert. Ein weiteres Risiko besteht in der Cross-Tool-Kontamination oder dem Cross-Server-Tool-Shadowing, das dazu führt, dass ein MCP-Server einen anderen überschreibt oder beeinflusst. Dies kann dazu führen, dass andere Tools auf unerwünschte Weise verwendet werden, was neue Möglichkeiten der Datenexfiltration eröffnet. Die neuesten Erkenntnisse zeigen, dass das MCP-Framework genutzt werden könnte, um ein Tool zu erstellen, das alle MCP-Tool-Funktionsaufrufe protokolliert. Dies geschieht durch eine speziell gestaltete Beschreibung, die das LLM anweist, dieses Tool vor allen anderen Tools einzufügen. Mit anderen Worten, die Prompt-Injection wird für einen guten Zweck manipuliert, nämlich um Informationen über das Tool zu protokollieren, das ausgeführt werden sollte, einschließlich des MCP-Servernamens, des MCP-Toolnamens und der Beschreibung sowie des Benutzerprompts, der das LLM veranlasste, dieses Tool auszuführen. Ein weiterer Anwendungsfall besteht darin, eine Beschreibung in ein Tool einzubetten, um es in eine Art Firewall zu verwandeln, die unbefugte Tools blockiert. “Tools sollten in den meisten MCP-Host-Anwendungen eine ausdrückliche Genehmigung erfordern, bevor sie ausgeführt werden”, sagte Sicherheitsforscher Ben Smith. “Dennoch gibt es viele Möglichkeiten, wie Tools verwendet werden können, um Dinge zu tun, die nicht unbedingt durch die Spezifikation verstanden werden. Diese Methoden beruhen auf LLM-Prompting über die Beschreibung und Rückgabewerte der MCP-Tools selbst. Da LLMs nicht deterministisch sind, sind es auch die Ergebnisse.” Die Offenlegung erfolgt, während Trustwave SpiderLabs enthüllt hat, dass das neu eingeführte Agent2Agent (A2A) Protokoll – das die Kommunikation und Interoperabilität zwischen agentischen Anwendungen ermöglicht – anfällig für neuartige Angriffsformen ist, bei denen das System so manipuliert werden kann, dass alle Anfragen an einen bösartigen KI-Agenten weitergeleitet werden, indem über seine Fähigkeiten gelogen wird. A2A wurde von Google als Möglichkeit angekündigt, KI-Agenten über siloartige Datensysteme und Anwendungen hinweg arbeiten zu lassen, unabhängig vom verwendeten Anbieter oder Framework. Es ist wichtig zu beachten, dass MCP LLMs mit Daten verbindet, während A2A einen KI-Agenten mit einem anderen verbindet. Mit anderen Worten, sie sind beide komplementäre Protokolle.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!