Die Fortschritte der KI werfen neue Sicherheitsbedrohungen auf. Das Phänomen der MCP-Prompt-Manipulation stellt eine besorgniserregende Verwundbarkeit dar, die die Integrität der Systeme bedroht. Der Schutz von Daten und Verbindungen wird unerlässlich. Die Interkonnektivität der KI-Tools setzt Unternehmen ungekannte Risiken aus, was eine erhöhte Wachsamkeit erfordert. Protokolle wie MCP offenbaren ausnutzbare Schwachstellen. Technologieführer müssen ihre Strategien überdenken, um dieser aufkommenden Bedrohung entgegenzutreten.
Die MCP-Prompt-Manipulation und ihre Implikationen
Experten für Sicherheit von JFrog haben kürzlich eine bedeutende Bedrohung aufgedeckt, die als Prompt-Manipulation bekannt ist. Diese Verwundbarkeit nutzt Kommunikationsschwächen zwischen den KI-Systemen mithilfe des Model Context Protocol (MCP) aus. Während Unternehmen ihre Daten und Werkzeuge integrieren möchten, um die Effizienz der KI zu optimieren, ignorieren sie oft die neuen Sicherheitsrisiken, die mit diesen Verbindungen verbunden sind.
Die Sicherheitsrisiken im Zusammenhang mit MCP
KI-Modelle, ob sie auf Plattformen wie Google und Amazon gehostet oder auf lokalen Geräten ausgeführt werden, stehen vor einem grundlegenden Problem. Diese Systeme besitzen kein Wissen über Echtzeitereignisse. Ihr Verständnis beschränkt sich auf die Daten, mit denen sie trainiert wurden. Das MCP, das von Anthropic entwickelt wurde, wurde entworfen, um diese Lücke zu schließen, indem es der KI ermöglicht, sicher auf lokale Daten und Online-Services zuzugreifen.
Jedoch zeigt die Forschung von JFrog, dass eine bestimmte Verwendung des MCP eine Verwundbarkeit der Prompt-Manipulation aufweist, die dieses KI-Tool in einen echten Albtraum in Bezug auf die Sicherheit verwandelt. Beispielsweise könnte ein Programmierer, der eine KI-Assistenten um eine Empfehlung für eine Python-Bibliothek zur Bildbearbeitung bittet, aufgrund einer Schwäche im System oatpp-mcp ein betrügerisches Tool vorgeschlagen bekommen. Dies stellt eine ernsthafte Bedrohung für die Software-Lieferkette dar.
Funktionsweise der Prompt-Manipulation
Diese Art von Angriff verändert die Kommunikation des Systems, das das MCP nutzt, anstatt die künstliche Intelligenz selbst zu beeinträchtigen. Die Verwundbarkeit würde innerhalb der Konfiguration des Systems Oat++ in C++ liegen, das verschiedene Programme an den MCP-Standard anschließt. Der Nachteil liegt in der Verwaltung der Verbindungen über Server-seitige Ereignisse (SSE).
Wenn sich ein echter Benutzer verbindet, weist der Server eine Sitzungs-ID zu. Die fehlerhafte Methode verwendet die Speicheradresse des Geräts als ID, was im Widerspruch zur Spezifität von IDs steht, die einzigartig und kryptographisch sicher sein sollen. Dieses fehlerhafte Design nutzt die häufige Wiederverwendung von Speicheradressen durch Computer aus.
Ausnutzung der Verwundbarkeit
Ein Angreifer könnte in diesem Fall eine große Anzahl von Sitzungen erstellen und schließen, um vorhersagbare Sitzungs-IDs zu erfassen. Sobald eine gültige ID erlangt wurde, könnte der Angreifer bösartige Anfragen an den Server senden. Der Server, der den legitimen Benutzer nicht vom Angreifer unterscheiden kann, sendet schädliche Antworten an den echten verbundenen Benutzer zurück. Programme, die nur bestimmte Antworten akzeptieren, können durch multiple Nachrichten manipuliert werden, bis eine Antwort validiert wird.
Erforderliche Sicherheitsmaßnahmen
Diese Entdeckung ist eine Warnung für Technologieführer, insbesondere für CISOs und CTOs, die KI-Assistenten entwickeln oder verwenden. Mit der zunehmenden Einführung von KI in Arbeitsabläufe erfordern die neuen Risiken, die mit Protokollen wie dem MCP verbunden sind, eine anhaltende Aufmerksamkeit. Die Aufrechterhaltung der Sicherheit der Betriebsumgebung der KI wird zur obersten Priorität.
Um Prompt-Manipulationen entgegenzuwirken, ist die Annahme strenger Maßnahmen unerlässlich. Alle KI-Dienste müssen eine sichere Sitzungsverwaltung nutzen. Die Entwicklungsteams müssen darauf achten, dass die Server Sitzungs-IDs aus robusten Zufallsgeneratoren erstellen, um die Risiken vorhersagbarer IDs zu minimieren.
Verstärkung der Client-Abwehr
Die Client-Programme müssen so gestaltet werden, dass sie alle nicht konformen Ereignisse zu den erwarteten IDs und Typen zurückweisen. Einfache und inkrementelle Ereignis-IDs stellen ein Risiko für Spraying-Angriffe dar, was die Notwendigkeit zeigt, unvorhersehbare IDs zu verwenden. Darüber hinaus ist die Implementierung der Prinzipien des Zero-Trust innerhalb der KI-Protokolle entscheidend, um das gesamte System zu sichern.
Für weitere Informationen zur Risikoprävention im Zusammenhang mit generativen KIs lesen Sie diesen Artikel auf Qualys. Es tauchen auch zusätzliche Bedenken auf, wie der Vorfall über unautorisierte Änderungen am Chatbot von Musk, der hier behandelt wird: DiA.
Häufige Fragen zur MCP-Prompt-Manipulation
Was ist die MCP-Prompt-Manipulation?
Die MCP-Prompt-Manipulation ist eine Verwundbarkeit, die Schwächen im Kommunikationsprotokoll Model Context Protocol (MCP) ausnutzt, das von KI-Systemen verwendet wird, und es einem Angreifer ermöglicht, Anfragen zu manipulieren und falsche Informationen einzufügen.
Warum gilt das MCP-Protokoll als verwundbar?
Die Verwundbarkeit liegt in der Art und Weise, wie die Sitzungen verwaltet werden. Durch die Verwendung von vorhersehbaren Sitzungs-IDs, die auf Speicheradressen basieren, kann ein Angreifer bösartige Sitzungen erstellen und das System täuschen, sodass es denkt, es handele sich um einen legitimen Benutzer.
Welche Arten von Angriffen können über die MCP-Prompt-Manipulation durchgeführt werden?
Die Angriffe können die Einspeisung von bösartigem Code, den Diebstahl sensibler Daten und die Ausführung nicht autorisierter Befehle umfassen, was ein erhebliches Risiko für die Software-Lieferkette darstellt.
Wer ist am stärksten gefährdet, von MCP-Prompt-Manipulationsangriffen betroffen zu sein?
Alle Unternehmen, die KI-Systeme verwenden, die das MCP-Protokoll integrieren, insbesondere solche, die auf Oat++-basierte Anwendungen und andere ähnliche Technologien angewiesen sind, sind besonders anfällig.
Wie können Unternehmen sich gegen die MCP-Prompt-Manipulation schützen?
Unternehmen sollten eine sichere Sitzungsverwaltung implementieren, die Abwehrmechanismen der Client-Programme stärken und Prinzipien der „Zero-Trust“-Sicherheit anwenden, um sicherzustellen, dass die KI-Protokolle angemessen schützen.
Was sind die besten Praktiken für die Sitzungsverwaltung in KI-Systemen?
Es ist entscheidend, dass Server Sitzungs-IDs mit sicheren Zufallsgeneratoren generieren und dass Client-Programme alle Antworten zurückweisen, die nicht den erwarteten IDs und Ereignistypen entsprechen.
Wie erkennt man einen laufenden MCP-Prompt-Manipulationsangriff?
Anzeichen eines Angriffs können unangemessene KI-Vorschläge, unerwartete Verhaltensweisen von Anwendungen oder Anfragen sein, die aus legitimen Benutzern zu stammen scheinen, jedoch falsche oder schädliche Ergebnisse liefern.
Können regelmäßige Sicherheitsupdates helfen, dieses Risiko zu mindern?
Ja, die Aktualisierung der Software mit den neuesten Sicherheitspatches ist entscheidend, um sich gegen bekannte Verwundbarkeiten, einschließlich derjenigen, die mit dem MCP-Protokoll verbunden sind, zu schützen.
Was ist der CVE-2025-6515 im Zusammenhang mit der MCP-Prompt-Manipulation?
Der CVE-2025-6515 ist eine Schwachstelle im oatpp-mcp-System, die Benutzer gegenüber Angriffen der Prompt-Manipulation aussetzt, indem es einem Angreifer ermöglicht, auf vorhersehbare Sitzungs-IDs zuzugreifen.
Warum ist es wichtig, dass Daten- und Sicherheitsleiter sich mit der MCP-Prompt-Manipulation befassen?
Mit der zunehmenden Integration von KI in Arbeitsabläufe müssen diese Führungskräfte die neuen Risiken, die mit der Verwendung von Protokollen wie MCP verbunden sind, verstehen, um Daten und Systeme effektiv zu schützen.
