11. Mai 2026
MCP-Server in Production: Drei CVEs in Anthropics eigenem Code
Im Januar 2026 wurden drei kritische CVEs in Anthropics offiziellem Git MCP Server bekannt. Was das für Teams bedeutet, die MCP selbst betreiben.
MCP ist zum Standard geworden. Laut der offiziellen MCP-Roadmap vom März 2026 verzeichnet das Protokoll 97 Millionen SDK-Downloads pro Monat und über 5'800 registrierte Server. OpenAI, Google DeepMind, Microsoft und Cloudflare haben MCP als De-facto-Standard für die Anbindung von KI-Agenten an externe Systeme übernommen. Wer heute KI-Agenten in seine Infrastruktur integriert, kommt an MCP kaum mehr vorbei.
Am 20. Januar 2026 wurden drei kritische Schwachstellen in Anthropics eigenem offiziellen Git MCP Server publik.
CVE-2025-68143 und CVE-2025-68144 sind Path-Traversal-Lücken, CVE-2025-68145 eine Argument-Injection. Die Angriffskette ist elegant und erschreckend zugleich: Ein Angreifer bettet bösartige Anweisungen in eine README-Datei ein. Der LLM liest sie, interpretiert sie als Instruktion — und führt beliebigen Code auf dem Rechner des Entwicklers aus. Remote Code Execution, ohne direkten Systemzugriff. Berichtet wurde die Schwachstelle von Cyata, behoben wurde sie am 17. Dezember 2025; publik wurde sie trotzdem erst im Januar.
Das ist kein Einzelfall. Die OWASP Foundation hat für 2026 ein eigenes MCP-Top-10-Projekt aufgesetzt — analog zum bekannten Web Application Security Katalog, aber spezifisch für MCP-Deployments. Die zehn Kategorien umfassen Token Mismanagement, Tool Poisoning, Supply Chain Attacks, unzureichende Authentifizierung, Shadow MCP Server und Context Oversharing. Dass OWASP einen eigenen Katalog aufsetzt, ist ein klares Signal: Das Ökosystem ist so schnell gewachsen, dass es seine eigene Angriffsfläche mitgebracht hat.
38 % der MCP-Server haben keine Authentifizierung.
Das zeigt ein Scan von über 500 Servern, den Sicherheitsforscher 2026 veröffentlichten. 53 % verlassen sich auf statische API-Keys statt auf OAuth 2.1 — dem Standard, den die MCP-Spezifikation seit Juni 2025 vorschreibt. In der Praxis bedeutet das: Wer schnell einen MCP-Server aufgesetzt hat, hat ihn wahrscheinlich unsicher aufgesetzt. Schnell gebaut und unsicher gebaut sind im MCP-Ökosystem 2026 keine Seltenheit, sondern die Mehrheit.
Drei Fehler aus dem eigenen Live-Betrieb
Wir betreiben Nexbid seit April 2026 im Live-Betrieb — eine Plattform, die Publisher-Kataloge via MCP-Server für KI-Agenten in ChatGPT, Claude und Gemini zugänglich macht. Dabei haben wir drei Fehler gemacht, die typisch sind und die wir deshalb hier nennen:
Erstens — ein Tool mit Schreibrechten, das read-only hätte sein sollen.
Das Tool konnte Kampagnendaten aktualisieren — was Agent-Tests nicht brauchen und Production-Traffic nicht sollte. Wir haben es in zwei Stunden korrigiert. Es hätte einen Datenunfall geben können.
Zweitens — interne API-Pfade in den Tool-Beschreibungen.
Tool-Beschreibungen sind für den LLM sichtbar — und damit potenziell für jeden, der den Agenten befragt. Wir behandeln Beschreibungen jetzt wie öffentliche Dokumentation.
Drittens — keine Ratenbegrenzung auf Tool-Calls.
Ein schlecht konfigurierter Agent hat in zwei Minuten über 4'000 Calls gemacht. Kein Schaden, aber ein Weckruf: Agenten können Schleifen bauen, die kein Mensch so geplant hat.
Was jetzt konkret hilft
Read-only first.
Geben Sie Agenten Lesezugriff, bevor Sie Schreibrechte freigeben. Der Blast-Radius eines Fehlers ist damit kontrollierbar. Dies empfehlen auch MCP-Sicherheitsexperten als erste Massnahme.
OAuth 2.1 statt statische API-Keys.
Die MCP-Spezifikation schreibt es vor. Statische Keys rotieren nicht automatisch, erscheinen in Logs und lassen sich durch Tool-Poisoning exfiltrieren. OAuth 2.1 ist seit Mai 2026 generell verfügbar in der MCP-Auth-Implementierung.
Tool-Beschreibungen als Angriffsfläche behandeln.
Was im Tool-Namen und in der Beschreibung steht, ist für den LLM lesbar. Keine internen Pfade, keine Credentials, keine System-Details.
Jeden Tool-Call loggen.
Nicht als nice-to-have, sondern als Pflicht. Die MCP-Roadmap 2026 nennt fehlende Audit-Trails explizit als offene Lücke, die das Enterprise-Working-Group schliessen soll.
Rate Limiting auf Tool-Ebene.
Nicht erst auf API-Gateway-Ebene — auf dem MCP-Server selbst. Agenten können Endlosschleifen bauen.
Fazit: ein wachsendes Ökosystem mit eigener Angriffsfläche
MCP ist kein Expertenprotokoll mehr, das in Forschungslabs lebt — es ist in Production, und zwar breit. 78 % der Enterprise-KI-Teams berichten in einer Erhebung vom April 2026 von mindestens einem MCP-Server im Live-Betrieb. Anthropics eigene CVEs sind nicht das Zeichen eines grundlegend schlechten Protokolls. Sie sind das Zeichen eines Ökosystems, das schneller gewachsen ist als seine Sicherheitspraktiken. Wer jetzt sauber baut — mit OAuth 2.1, read-only-first und vollständigem Logging — ist besser positioniert als die 38 %, die heute noch ohne jede Authentifizierung betreiben.
Quellen
MCP 2026 Roadmap, 9. März 2026
DEV Community, 38 % of MCP Servers Have No Auth — Inside the OWASP MCP Top 10, 2026