Das Model Context Protocol verzeichnete 2025 insgesamt 95 CVEs. Im Jahr davor: praktisch null. Trend Micros TrendAI State of AI Security Report erfasste den Anstieg innerhalb von 6.086 KI-bezogenen CVEs insgesamt, und MCP-Server stechen als die am schnellsten wachsende Kategorie hervor. Dann kamen im Januar und Februar 2026 30 weitere dazu. Das Protokoll, das KI-Agenten sicheren, strukturierten Zugriff auf Tools und Daten ermöglichen sollte, hat sich stattdessen zum offensten Einfallstor im KI-Stack entwickelt.
Es geht hier nicht um eine einzelne Schwachstelle. Es geht um ein Protokoll, das über 10.000 öffentliche Server-Implementierungen erreichte, bevor sein Sicherheitsmodell nachgezogen hat. Die Daten aus den Sicherheitsvorfällen erzählen die Geschichte.
Die Zahlen: Von null auf 95 in einem Jahr
Vor 2025 hatte MCP keine nennenswerte CVE-Bilanz. Das Protokoll wurde im November 2024 angekündigt und verbrachte seine ersten Monate als interessante Spezifikation mit einer Handvoll Referenzimplementierungen. Bis Ende 2025 waren es 95 erfasste CVEs, was 1,7% aller KI-bezogenen Schwachstellen des Jahres entspricht.
Die Aufschlüsselung nach Angriffsklasse, basierend auf Endor Labs’ Analyse von 2.614 MCP-Implementierungen, wird von altbekannten Schwachstellentypen dominiert:
- 43% Exec/Shell-Injection (CWE-78, CWE-94)
- 36,7% Server-Side Request Forgery (SSRF)
- 10% Path Traversal (CWE-22)
- 7% Cross-Site Scripting (CWE-79)
- 6% SQL-Injection (CWE-89)
Das sind keine neuartigen, KI-spezifischen Angriffsklassen. Es sind dieselben Schwachstellenkategorien, die OWASP seit zwei Jahrzehnten dokumentiert. Der Unterschied: MCPs Architektur leitet LLM-generierte Zeichenketten konstruktionsbedingt an Systemoperationen weiter, wodurch jede unvalidierte Eingabe zum potenziellen Injection-Vektor wird.
Trend Micro prognostiziert 2.800 bis 3.600 KI-bezogene CVEs für 2026, ein Anstieg von 31-69% gegenüber den 2.130 im Jahr 2025. MCP-Server werden den steilsten Jahreszuwachs innerhalb dieser Gesamtzahl verzeichnen.
Keine theoretischen Bugs
Equixlys unabhängiges Audit ergab, dass 30% der populären MCP-Implementierungen für SSRF-Angriffe anfällig sind, und zwar nicht theoretisch, sondern mit funktionierenden Proof-of-Concept-Exploits. Der Microsoft MarkItDown MCP Server hatte eine ungepatchte SSRF-Schwachstelle, die AWS-EC2-Metadaten-Exploitation und Cloud-Credential-Diebstahl ermöglichte. Der mcp-fetch-server lieferte einen CVSS-9.3-Bug, bei dem is_ip_private() umgangen werden konnte, um auf interne Netzwerkdienste zuzugreifen.
Astrix Securitys Forschung zur Credential-Lücke verschärft das Bild: 88% der MCP-Server benötigen Anmeldeinformationen, aber 53% verwenden statische API-Keys, nur 8,5% implementieren OAuth, und 38-41% verfügen über keinerlei Authentifizierungsmechanismus.
Die Breach-Timeline: 10 Vorfälle, die MCPs Sicherheitsjahr definieren
Einzelne CVEs sind abstrakt. Die Vorfälle, die sie ermöglichen, nicht. Hier ist die Timeline der schwerwiegendsten MCP-Sicherheitsvorfälle, zusammengestellt aus AuthZeds Breach-Tracker und Herstellermeldungen.
April 2025: WhatsApp-MCP-Datenexfiltration
Invariant Labs demonstrierte, dass ein bösartiger MCP-Server den gesamten WhatsApp-Verlauf eines Nutzers per Tool Poisoning exfiltrieren konnte. Der Angriff kombinierte einen manipulierten MCP-Server mit dem legitimen whatsapp-mcp-Server: Hunderte persönliche Nachrichten, Geschäftsgespräche und Kundendaten weitergeleitet an eine vom Angreifer kontrollierte Nummer. Der Nutzer bemerkte nichts.
Mai 2025: GitHub-MCP-Prompt-Injection
Ein bösartiges öffentliches GitHub-Issue kaperte einen KI-Assistenten über den offiziellen GitHub-MCP-Server. Private Repository-Inhalte, interne Projektdetails und persönliche Finanzinformationen landeten in einem öffentlichen Pull Request. Die Ursache: ein überprivilegiertes Personal Access Token ohne jede Eingabevalidierung für Issue-Inhalte im MCP-Kontext.
Juni 2025: Anthropic MCP Inspector RCE
CVE-2025-49596. Nicht-authentifizierte Remote Code Execution über die Proxy-Architektur des MCP Inspectors. Angreifer konnten auf das gesamte Dateisystem, API-Keys und Umgebungsvariablen auf Entwickler-Workstations zugreifen. Der Inspector war als Debugging-Tool gedacht; stattdessen wurde er zum Einfallstor.
Juli 2025: mcp-remote als Supply-Chain-Hintertür
CVE-2025-6514, CVSS 9.6. JFrog deckte auf, dass eine kritische Command Injection in der OAuth-Proxy-Komponente von mcp-remote steckte, einem Paket mit über 437.000 Downloads. Bösartige MCP-Server konnten Remote Code Execution auf jedem Client erzielen, der sich verband. Der Bug betraf Integrationsleitfäden von Cloudflare, Hugging Face und Auth0. Für europäische Unternehmen mit DSGVO-Pflichten war der Vorfall besonders brisant: Kundendaten konnten über die kompromittierte Dependency abfließen, ohne dass Betroffene informiert wurden.
August 2025: Anthropic Filesystem MCP Sandbox Escape
CVE-2025-53109 und CVE-2025-53110. Sandbox-Escape und Symlink/Containment-Bypass im offiziellen Filesystem MCP Server von Anthropic. Angreifer konnten aus dem vorgesehenen Verzeichnis ausbrechen und beliebige Dateien lesen oder Code ausführen. Die Ironie: Das --repository-Flag, das den Zugriff einschränken sollte, schränkte den Zugriff nicht ein.
September 2025: Postmark-MCP-Supply-Chain-Poisoning
Ein gefälschtes “Postmark MCP Server”-Paket auf npm leitete per BCC Kopien aller E-Mail-Kommunikation an einen Server des Angreifers weiter. Memos, Rechnungen, vertrauliche Dokumente: Alles, was über den Agenten versendet wurde, wurde dupliziert. Das Paket sah legitim aus, hatte einen plausiblen Namen und blieb unentdeckt, bis ein Sicherheitsforscher ungewöhnlichen SMTP-Traffic bemerkte.
Oktober 2025: Smithery-Hosting-Plattform-Breach
GitGuardian fand eine Path-Traversal-Schwachstelle in smithery.yaml, die ~/.docker/config.json offenlegte, einschließlich eines Fly.io-API-Tokens, das 3.000+ Apps kontrollierte. Eingehender Client-Traffic mit API-Keys und Secrets konnte abgefangen werden. Eine einzige fehlkonfigurierte YAML-Datei kompromittierte eine ganze Hosting-Plattform.
Oktober 2025: Figma/Framelink-MCP-Command-Injection
CVE-2025-53967. Command Injection durch nicht bereinigte Benutzereingaben, die an Shell-Befehle im Framelink-MCP-Server für Figma übergeben wurden. Über 600.000 Downloads betroffen. Das Schwachstellenmuster war trivial: Benutzergesteuerte Strings ohne Escaping in Shell-Befehle konkateniert.
Januar 2026: Anthropic Git MCP Server Triple-CVE
CVE-2025-68143, CVE-2025-68144, CVE-2025-68145. Drei Schwachstellen in Anthropics Referenzimplementierung ermöglichten Path-Validation-Bypass, uneingeschränktes git_init und Argument Injection. Verkettet ergibt das vollständige Remote Code Execution über eine manipulierte .git/config. Anthropics Fix für den git_init-Bug: Das Tool wurde komplett entfernt.
Februar 2026: Asana-MCP-Cross-Tenant-Datenleck
Ein Zugriffskontrollfehler in der Asana-MCP-Integration ermöglichte mandantenübergreifende Datensichtbarkeit. Projekte, Teams und Aufgabendetails eines Kunden waren potenziell für Agenten eines anderen Kunden sichtbar. Multi-Tenancy, ohnehin anspruchsvoll, wird noch schwieriger, wenn KI-Agenten die Anfragen stellen.
Warum MCP architektonisch verwundbar ist
Diese Vorfälle sind kein Zufall. Sie resultieren aus strukturellen Eigenschaften der MCP-Funktionsweise.
Command Injection by Design. MCPs Kernaufgabe besteht darin, Instruktionen von einem LLM an Systemoperationen weiterzuleiten. Jeder Tool-Aufruf ist im Kern ein LLM-generierter String, der von einem Server ausgeführt wird. Ohne rigorose Eingabevalidierung an jeder Schnittstelle ist Injection kein Bug, sondern ein Merkmal der Architektur.
Tool-Mutation nach Installation. Unit 42 bei Palo Alto Networks dokumentierte, dass MCP-Tools ihre eigenen Definitionen nach der Installation ändern können. Ein Tool, das bei der Prüfung sicher aussieht, kann eine Woche später API-Keys an einen Angreifer weiterleiten. Klassische AppSec geht davon aus, dass geprüfter Code geprüft bleibt. MCP bricht diese Annahme.
Sampling-Kontrollumkehr. MCP-Server können Sampling-Anfragen zurück an den Client initiieren und werden damit faktisch zu Prompt-Autoren. Ein Server, der LLM-Completions anfordern kann, hat tiefgreifenden Einfluss darauf, was das Modell sieht und produziert, ein Vektor, den Unit 42 mit drei funktionierenden Exploits demonstrierte.
Das 86%-Lokalproblem. Astrix’ Daten zeigen: 86% der MCP-Server laufen lokal mit vollen Benutzerrechten. Nicht isoliert, nicht containerisiert, nicht überwacht. Sie laufen mit den Berechtigungen, die der Rechner des Entwicklers hat, und das sind in den meisten Fällen alle.
Explosives, unkontrolliertes Wachstum. MCP ging von 3 Implementierungen im Oktober 2024 auf über 10.000 öffentliche Server bis Anfang 2026. In Spitzenwochen 2025 erschienen bis zu 1.021 neue Server innerhalb von sieben Tagen. Das Ökosystem wuchs schneller als jeder Sicherheits-Review-Prozess folgen konnte. In einem typischen Unternehmen mit 10.000 Mitarbeitern schätzt Astrix, dass 15,28% der Beschäftigten durchschnittlich 2 MCP-Server betreiben: 3.056 unkontrollierte Deployment-Punkte.
Was sich im November 2025 änderte (und was nicht)
Zum ersten Jahrestag von MCP veröffentlichte Anthropic ein umfangreiches Spezifikations-Update mit OAuth-2.1-Autorisierung, PKCE-Pflicht, Dynamic Client Registration und verbindlichen Protected Resource Metadata (RFC 9728). MCP-Server stellen keine Access Tokens mehr direkt aus; dedizierte Autorisierungsserver übernehmen das gesamte Token-Management.
Im März 2026 übergab Anthropic MCP an die Agentic AI Foundation unter Linux-Foundation-Governance. Die Weiterentwicklung der Sicherheit wird damit zur Gemeinschaftsaufgabe statt zur Einzelverantwortung eines Anbieters.
Das sind sinnvolle Schritte. Sie kamen auch spät.
Das November-Update kam nach neun Monaten voller Sicherheitsvorfälle und fast 100 CVEs. Die OAuth-2.1-Pflicht ist richtig, aber die 8,5% OAuth-Adoptionsrate zeigt, wie weit die installierte Basis von der Compliance entfernt ist. Der Anthropic-Referenz-SQLite-MCP-Server, über 5.000 Mal geforkt, bevor Anthropic ihn ohne Patch archivierte, lebt in Tausenden nachgelagerter Implementierungen mit seiner SQL-Injection-Schwachstelle weiter.
Die OWASP MCP Top 10 und Adversa AIs MCP Security TOP 25 liefern Taxonomien. Die SlowMist MCP Security Checklist bietet operative Anleitung. Das Vulnerable MCP Project trackt 50 bekannte Schwachstellen in 8 Kategorien. Tools und Frameworks existieren. Was fehlt, ist die Umsetzung.
Was die Trenddaten für 2026 bedeuten
Trend Micros Prognose von 2.800-3.600 KI-CVEs für dieses Jahr ist keine Panikmache. Es ist eine lineare Extrapolation aus dem, was bereits passiert ist. MCPs Anteil innerhalb dieser Gesamtzahl wird mit hoher Wahrscheinlichkeit steigen, weil zwei Dinge gleichzeitig zutreffen: Die Adoption beschleunigt sich, und die installierte Basis unsicherer Server schrumpft nicht.
Die 518 offiziellen MCP-Server im Registry (Stand Februar 2026) repräsentieren die kontrollierte Oberfläche. Die über 10.000 öffentlichen Implementierungen auf GitHub repräsentieren die tatsächliche Oberfläche. Die 3.000+ unkontrollierten Deployments in einem typischen Unternehmen repräsentieren die unsichtbare Oberfläche.
Wer MCP-Server in Produktion betreibt, braucht als Minimum: OAuth 2.1 mit PKCE (keine statischen Keys), containerisierte Isolation (keine lokalen Prozesse), Tool-spezifische Autorisierungsbereiche (kein pauschaler Zugriff) und kontinuierliches Monitoring von Tool-Beschreibungsänderungen. Der OWASP Practical Guide for Secure MCP Server Development und die offiziellen MCP Security Best Practices sind die empfohlenen Startpunkte.
Für Unternehmen im DACH-Raum kommt der regulatorische Druck hinzu: Der EU AI Act tritt im August 2026 in die Hochrisiko-Durchsetzungsphase ein. MCP-Server, die auf sensible Unternehmensdaten zugreifen, könnten unter die Anforderungen für Hochrisiko-KI-Systeme fallen, insbesondere wenn sie in DSGVO-relevanten Kontexten personenbezogene Daten verarbeiten. Die Kombination aus unsicherer Infrastruktur und regulatorischer Haftung macht MCP-Sicherheit für europäische CISOs zum Pflichtthema.
Das Protokoll ist nicht kaputt. Aber die Lücke zwischen dem, was MCP ermöglicht, und dem, was das Ökosystem absichert, ist derzeit das größte ungelöste Risiko in produktiver KI-Infrastruktur.
Häufig gestellte Fragen
Wie viele CVEs wurden gegen MCP-Implementierungen eingereicht?
Trend Micros TrendAI-Report erfasste 95 MCP-bezogene CVEs allein im Jahr 2025, gegenüber nahe null in den Vorjahren. Weitere 30+ CVEs wurden im Januar und Februar 2026 eingereicht. Die Mehrheit sind Injection-Schwachstellen (43% Exec/Shell-Injection), gefolgt von SSRF (36,7%) und Path Traversal (10%).
Welcher Prozentsatz der MCP-Server ist für SSRF anfällig?
Equixlys unabhängiges Audit ergab, dass 30% der populären MCP-Implementierungen mit funktionierenden Proof-of-Concept-Exploits für SSRF anfällig sind. Eine breitere Analyse über 2.614 Implementierungen beziffert den Anteil auf 36,7%.
Was war der schlimmste MCP-Sicherheitsvorfall 2025?
Die mcp-remote Command Injection (CVE-2025-6514, CVSS 9.6) im Juli 2025 war wohl der folgenreichste. Sie betraf ein Paket mit über 437.000 Downloads, das in Integrationsleitfäden von Cloudflare, Hugging Face und Auth0 empfohlen wurde. Bösartige MCP-Server konnten Remote Code Execution auf jedem verbundenen Client erzielen.
Warum ist MCP besonders verwundbar im Vergleich zu anderen Protokollen?
MCP leitet LLM-generierte Zeichenketten konstruktionsbedingt an Systemoperationen weiter. Weitere Faktoren: Tools können ihre Definitionen nach der Installation ändern, 86% der Server laufen lokal mit vollen Benutzerrechten, 38-41% haben keinerlei Authentifizierung, und die Adoption wuchs in 13 Monaten von 3 auf über 10.000 Implementierungen.
Wie kann ich mein MCP-Deployment absichern?
Die Mindestsicherheit umfasst: OAuth 2.1 mit PKCE statt statischer API-Keys, containerisierte Server-Isolation, Tool-spezifische Autorisierungsbereiche und kontinuierliches Monitoring von Tool-Beschreibungsänderungen. Der OWASP Practical Guide und die offiziellen MCP Security Best Practices sind die empfohlenen Startpunkte.