MCP-in-SoS: Risk assessment framework for open-source MCP servers

Die Studie stellt einen Risikobewertungsrahmen für Open-Source-MCP-Server vor, der durch statische Codeanalyse und die Zuordnung von Schwachstellen zu realen Bedrohungen systematisch Sicherheitsrisiken identifiziert und die Notwendigkeit einer sicheren Entwicklung unterstreicht.

Das Wesentliche

Stell dir vor, du hast einen sehr klugen, aber manchmal etwas naiven persönlichen Assistenten (eine Künstliche Intelligenz, kurz KI). Dieser Assistent kann Texte schreiben, Fragen beantworten und Pläne schmieden. Aber er ist wie ein Mensch, der in einem geschlossenen Raum lebt: Er kann nichts tun, was nicht direkt vor seiner Nase passiert. Er kann keine E-Mails senden, keine Dateien auf deinem Computer öffnen und keine Buchungen im Internet vornehmen.

Hier kommt das MCP (Model Context Protocol) ins Spiel.

Was ist MCP? Der universelle Schlüsselbund

Stell dir MCP wie einen universellen Schlüsselbund vor. Er erlaubt deinem KI-Assistenten, Türen zu öffnen, die sonst verschlossen wären. Über diesen Schlüsselbund kann die KI Werkzeuge benutzen: Sie kann auf deine Kalender zugreifen, im Internet suchen oder sogar Code ausführen.

Das Problem? Diese Schlüssel werden nicht von einer einzigen Firma hergestellt. Tausende von Entwicklern auf der ganzen Welt bauen ihre eigenen Versionen dieser Schlüssel (die sogenannten "MCP-Server") und stellen sie kostenlos ins Internet. Das ist toll für die Innovation, aber wie bei jedem Werkzeugkasten, der von vielen verschiedenen Leuten gebaut wird, gibt es auch hier unsichere Schlösser.

Das Problem: Die unsicheren Werkzeuge

Die Forscher in diesem Papier haben sich gefragt: "Wie sicher sind eigentlich diese tausenden von kostenlosen Werkzeugen, die die KI benutzt?"

Stell dir vor, du hast einen Schlüsselbund mit 222 verschiedenen Schlüsseln. Die Forscher haben jeden einzelnen Schlüssel genau unter die Lupe genommen, um zu sehen, ob er Rost hat, ob er leicht zu knacken ist oder ob er versehentlich die Tür zu deinem Safe öffnet, wenn man ihn nur falsch hält.

Sie haben eine Art digitalen Detektiv-Algorithmus (genannt "MCP-in-SoS") entwickelt. Dieser Algorithmus schaut sich den Bauplan (den Code) der Schlüssel an, ohne sie tatsächlich zu benutzen. Er sucht nach bekannten Fehlern, die Hacker ausnutzen könnten.

Was haben sie gefunden? Ein Haus voller offener Fenster

Die Ergebnisse waren ziemlich beunruhigend, aber auch sehr aufschlussreich:

1. Fast alle haben Fehler: Von den 222 untersuchten Werkzeugen hatten 86 % mindestens einen kritischen Fehler. Das ist, als würdest du in ein neues Viertel ziehen und feststellen, dass fast jedes Haus ein offenes Fenster oder eine nicht verschlossene Haustür hat.

2. Die häufigsten Probleme: Die meisten Fehler waren keine komplexen, geheimen Schwachstellen, sondern ganz einfache Dinge:

   • Fehlende Türschlösser (Authentifizierung): Jeder kann reinkommen, ohne sich auszuweisen.
   • Offene Fenster (Zugriffsrechte): Man kann Dinge sehen oder tun, die man nicht sollte.
   • Falsche Anweisungen: Die KI lässt sich leicht überreden, Dinge zu tun, die sie nicht tun sollte (wie ein Kind, das von einem Fremden "bitte öffne die Tür" gesagt bekommt).

3. Die Kettenreaktion (Der Domino-Effekt):
   Das Spannendste an der Studie ist, wie diese Fehler zusammenhängen. Die Forscher haben entdeckt, dass Fehler selten allein auftreten.

   • Das Bild: Stell dir vor, der "Protokoll-Fehler" ist ein offenes Tor am Zaun deines Gartens. Wenn das Tor offen ist, kann ein Dieb leicht in den Garten kommen. Aber wenn im Garten dann auch noch das Werkzeug (Tool) liegt, mit dem man die Garage aufbrechen kann, und die Garage voller teurer Dinge (Ressourcen) steht, ist das Problem riesig.
   • Die Studie zeigt: Wenn das Tor (Protokoll) offen ist, nutzen Diebe das oft, um an die Werkzeuge und Ressourcen im Garten zu kommen. Es ist eine Kette von Fehlern, die zusammen eine Katastrophe ergeben.

Die Lösung: Ein neuer Sicherheits-Check

Die Forscher haben nicht nur die Probleme gefunden, sondern auch einen neuen Sicherheits-Check entwickelt.

Stell dir vor, sie haben eine App erstellt, die jedem Schlüssel (Server) eine Bewertung gibt:

• Grün: Alles sicher.
• Gelb: Vorsicht, hier gibt es kleine Risse.
• Rot: Gefahr! Hier kann ein Hacker alles stehlen oder zerstören.

Sie haben herausgefunden, dass fast die Hälfte der getesteten Werkzeuge in den "Rot"- oder "Orange"-Bereich fallen. Das bedeutet, dass viele KI-Assistenten, die heute im Einsatz sind, auf unsicheren Fundamenten stehen.

Warum ist das wichtig für dich?

Wenn du in Zukunft einen KI-Assistenten nutzt, der auf deinem Computer arbeitet oder deine Daten verwaltet, ist es wichtig zu wissen, dass dieser Assistent vielleicht Werkzeuge benutzt, die nicht sicher gebaut wurden.

Die Botschaft der Forscher ist einfach:
"Wir müssen beim Bauen dieser digitalen Werkzeuge von Anfang an an die Sicherheit denken."

Statt nachträglich zu versuchen, die Risse zu flicken, müssen die Entwickler sicherstellen, dass die Türschlösser von Anfang an fest sitzen. Nur so können wir sicherstellen, dass unsere KI-Assistenten uns helfen, ohne uns versehentlich in Gefahr zu bringen.

Zusammengefasst: Die KI ist ein mächtiger Assistent, aber die Werkzeuge, mit denen er arbeitet, sind oft noch zu unsicher. Diese Studie hat einen Spiegel vor die Entwickler gehalten, um zu zeigen, wo die Löcher sind, damit wir sie stopfen können, bevor die Diebe kommen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „MCP-in-SoS: Risk assessment framework for open-source MCP servers" auf Deutsch:

1. Problemstellung

Das Model Context Protocol (MCP) ist ein neuer Open-Standard (eingeführt von Anthropic Ende 2024), der es Large Language Model (LLM)-Agenten ermöglicht, dynamisch auf externe Tools und Datenquellen zuzugreifen. Während MCP die Interoperabilität und Portabilität von Agenten verbessert, verändert es die Sicherheitslage grundlegend:

• Dynamische Kontrollflüsse: Im Gegensatz zu traditionellen Client-Server-Architekturen mit festen Aufrufgraphen orchestriert der LLM-Agent den Kontrollfluss zur Laufzeit. Dies ermöglicht Ketten von Tool-Aufrufen, die transitive Zugriffe auf sensible Ressourcen (Dateisystem, Netzwerke, APIs) erlauben.
• Fehlende systematische Analyse: Obwohl es bereits Threat-Taxonomien und Angriffsbeispiele gibt, existiert keine groß angelegte, systematische Untersuchung der Sicherheitsrisiken in der tatsächlichen Implementierung von Open-Source-MCP-Servern.
• Risiko: Implementierungsfehler können sich über einzelne Anfragen hinaus ausweiten und zu Eskalationspfaden führen, die Vertraulichkeit, Integrität und Verfügbarkeit gefährden.

2. Methodik: Der MCP-in-SoS-Ansatz

Die Autoren stellen MCP-in-SoS vor, eine automatisierte, vierstufige Pipeline zur Identifizierung und Priorisierung von Sicherheitsrisiken in MCP-Server-Implementierungen.

A. Datenquelle

• Analyse von 222 öffentlichen Python-Repositories auf GitHub, die MCP-Server implementieren (Filter: >100 Stars, Python-Sprache, aktiv nach 2025).
• Ausschluss von Client-only-Projekten, Benchmarks und absichtlich verwundbaren Repositories.

B. Die vierstufige Pipeline

1. Statische Code-Analyse (Static Code Analysis):

   • Einsatz dreier Analysetools: CodeQL, Joern (basierend auf Code Property Graphs, CPG) und Cisco AI Defender MCP Scanner.
   • Entwicklung spezifischer Joern-Abfragen, die auf den „Top 25 CWEs 2025" basieren, um Muster in Python-Code zu erkennen.
   • Ziel: Extraktion von Kandidaten für Schwachstellen (Weakness Findings).

2. Metadaten-Vorbereitung (Metadata Preparation):

   • Integration der MITRE CWE (Common Weakness Enumeration) und CAPEC (Common Attack Pattern Enumeration and Classification) Datenbanken.
   • Bereinigung der Daten: Behandlung fehlender Werte (z. B. durch Imputation von übergeordneten Kategorien oder Zuordnung zu CAPEC-Mustern).
   • Berechnung von Metriken für Wahrscheinlichkeit (Likelihood) und Auswirkung (Impact).

3. Normalisierung (Normalization):

   • Zusammenführung der Ergebnisse der verschiedenen Tools.
   • Mapping der Tool-spezifischen Funde auf standardisierte CWE-Klassen.
   • Deduplizierung und Aggregation der Fundhäufigkeiten pro Repository.

4. Risikobewertung (Risk Scoring):

   • Risikomodell: Basierend auf der Formel $Risk = Likelihood \times Impact$.
   • Berechnung:
     • Likelihood: Produkt aus CAPEC-Angriffswahrscheinlichkeit, CWE-Ausnutzungswahrscheinlichkeit und Anzahl der Einführungsmodi (Mode of Introduction).
     • Impact: Produkt aus typischer Schwere (CAPEC) und Anzahl der Konsequenzen (CWE).
   • Repository-Score: Kombination aus der Schwereverteilung (RMS-Ansatz) und der Fundmenge (logarithmisch skaliert), um Ausreißer zu dämpfen.
   • Threat Surfaces: Klassifizierung der Schwachstellen in vier MCP-spezifische Bereiche: Protocol, Tool, Resource, Prompt.

3. Wichtige Beiträge

• Großangelegte Bewertung: Erste systematische Analyse von 222 Open-Source-MCP-Servern auf Code-Ebene.
• Reproduzierbare Pipeline: Kombination aus statischen Analyzern und LLM-gestützter Prüfung zur Normalisierung und Zuordnung zu CWE/CAPEC.
• Spezifische Abfragen: Entwicklung von 54 Joern-Abfragen, die auf den Top 25 CWEs basieren und für Python-MCP-Server optimiert sind.
• Risikomodellierung: Ein neuer, metadatengetriebener Scoring-Mechanismus (CWE-CAPEC), der sowohl auf Ebene der Schwachstelle als auch des Repositories Risikowerte liefert.
• Threat-Surface-Taxonomie: Eine neue Klassifizierung, die Schwachstellen den spezifischen MCP-Komponenten zuordnet und bedingte Ko-Okkurrenzen (Conditional Co-occurrence) analysiert, um mehrstufige Angriffswege aufzudecken.

4. Ergebnisse

• Verbreitung von Schwachstellen: 191 von 222 Repositories (86,0 %) enthalten mindestens eine identifizierte Schwachstelle.
• Schweregrad:
  • 47,6 % der bewerteten Repositories fallen in die Kategorie „High".
  • 18,3 % fallen in die Kategorie „Very High".
  • Nur 0,5 % sind als „Very Low" eingestuft.
• Häufigste CWEs: Die fünf häufigsten Klassen machen 75,7 % aller Funde aus:
  • CWE-862 (Fehlende Autorisierung)
  • CWE-200 (Offenlegung sensibler Informationen)
  • CWE-306 (Fehlende Authentifizierung)
  • CWE-287 (Fehlerhafte Authentifizierung)
  • CWE-89 (SQL-Injection) – Besonders kritisch aufgrund hoher Häufigkeit und hohem Risiko.
• Threat Surfaces:
  • Protocol-Schwachstellen dominieren (56,9 % aller Funde, 57,1 % des Risikos). Sie fungieren als „Multiplikator", der den Zugriff auf andere Schwachstellen ermöglicht.
  • Resource-Schwachstellen sind häufig (29,2 %), tragen aber weniger zum Gesamtrisiko bei als Tool-Schwachstellen (die seltener, aber mit höherer Auswirkung sind).
• Angriffsketten (Exploit Chains):
  • Schwachstellen treten selten isoliert auf.
  • Kritische Erkenntnis: 87 % der Repositories mit Tool-Schwachstellen haben auch Protocol-Schwachstellen. 94 % der Repositories mit Prompt-Schwachstellen haben auch Resource-Schwachstellen.
  • Dies deutet auf mehrstufige Exploit-Chains hin, bei denen schwache Zugriffskontrollen (Protocol) Angriffe auf Tools oder Datenlecks (Resource) erst ermöglichen.

5. Bedeutung und Fazit

Das Paper unterstreicht, dass der aktuelle MCP-Ökosystem-Ansatz „Secure-by-Design" dringend benötigt, da Open-Source-Server massenhaft implementierte, ausnutzbare Schwachstellen aufweisen.

• Sicherheitsimplikation: Die Kombination aus dynamischen Agenten-Logiken und implementierungsbedingten Fehlern (insbesondere bei Authentifizierung und Autorisierung) schafft ein hohes Risiko für Vertraulichkeits- und Integritätsverletzungen.
• Empfehlung: Entwickler müssen Zugriffskontrollen (Protocol-Ebene) stärken, da diese als Gatekeeper für alle nachgelagerten Angriffe (Tools, Ressourcen) fungieren.
• Ethik & Open Science: Die Autoren haben die Ergebnisse verantwortungsvoll an die Projektbetreiber gemeldet und versprechen die Veröffentlichung aller Metadaten, Skripte und Abfragen zur Reproduzierbarkeit.

Zusammenfassend liefert MCP-in-SoS einen essenziellen Rahmen, um die Sicherheitslage des schnell wachsenden MCP-Ökosystems quantitativ zu bewerten und priorisierte Gegenmaßnahmen zu entwickeln.