Thought Leadership
Die Sicherheitsforscher von JFrog haben in der Oat++-Implementierung des Model Context Protocol (MCP) eine Schwachstelle (CVE-2025-6515) identifiziert, die Angreifer für sogenannte Prompt-Hijacking-Angriffe nutzen können.
Betroffen sind Deployments, in denen MCP über HTTP/SSE erreichbar ist. Durch die Lücke können Angreifer Sessions kapern und manipulierte Antworten in aktive KI-Workflows einschleusen, ohne das Modell selbst zu verändern.
Bei diesem Angriffskonzept wird nicht das KI-Modell angegriffen, sondern der Kommunikationskanal zwischen Client und Server manipuliert. Der Angreifer schleust falsche Antworten ein, die für den Nutzer legitim wirken, da sie über den gewohnten Client-Kanal ankommen. Ursache sind vorhersehbare oder unsichere Session-IDs, die es ermöglichen, fremde Events in bestehende Sessions einzuspeisen.
Funktionsweise des Angriffs
Der Angriff nutzt die Funktionsweise des Session-Managements:
- Session-Aufbau: Der Client eröffnet eine Session per SSE, die vom Server über eine Session-ID adressiert wird.
- ID-Kompromittierung: Angreifer erlangen die Session-ID durch Raten, Leckagen oder Wiederverwendung vorhersagbarer IDs.
- Event-Einschleusung: Mit der kompromittierten ID senden sie eigene Events, die vom Server wie legitime Antworten behandelt werden.
- Client-Verhalten: Schwache Prüfungen auf Client-Seite verstärken das Risiko, dass fremde Nachrichten akzeptiert und verarbeitet werden.
Die eingeschleusten Events können reguläre Antworten überlagern oder manipulieren, etwa Empfehlungen, Konfigurationsänderungen oder Code-Vorschläge, und stellen so eine Gefahr für Entwicklungsprozesse und Lieferketten dar.
Wer ist betroffen?
Gefährdet sind alle Installationen von oatpp-mcp, die HTTP/SSE nutzen und deren Endpunkt aus dem Netzwerk erreichbar ist. Besonders kritisch sind Umgebungen mit vorhersehbaren oder wiederverwendbaren Session-IDs. In der untersuchten Implementierung wurde die ID aus Speicheradressen abgeleitet, wodurch Angreifer Sessions beobachten, IDs sammeln und wiederverwenden können.
Um Prompt-Hijacking zu verhindern, empfehlen Sicherheitsexperten:
- Einsatz kryptographisch starker, global eindeutiger Session-IDs (mindestens 128 Bit Entropie).
- Strikte Trennung und Isolation von Sessions.
- Durchsetzung von Timeouts und Ablaufkontrollen für Sessions.
- Strikte Event-Validierung auf Client-Seite: Nur erwartete, eindeutig gekennzeichnete Events akzeptieren.
- Robuste Protokoll- und Wiederherstellungsmechanismen, um manipulierte oder verspätete Events zu neutralisieren.
Prompt Hijacking zeigt, dass die Sicherheit von KI-Workflows nicht nur vom Modell abhängt, sondern stark durch Session- und Transportmechanismen beeinflusst wird. Eine konsequente Härtung dieser Komponenten reduziert die Angriffsfläche deutlich und schützt sowohl Nutzer als auch Unternehmensprozesse vor Manipulationen.
