Thought Leadership
Das neue Model Context Protocol MCP 2026-07-28 wechselt auf eine zustandslose Architektur. Das Sicherheitsunternehmen Akamai warnt vor neuen Risiken.
Das Model Context Protocol, kurz MCP, das ursprünglich im Jahr 2024 von Anthropic als lokales Werkzeug für einzelne Nutzer eingeführt wurde, steht vor einer grundlegenden Überarbeitung. Am 28. Juli 2026 wird die neue Version mit der Bezeichnung MCP 2026-07-28 offiziell veröffentlicht. Der Vorabentwurf wurde bereits am 21. Mai 2026 fertiggestellt, um Entwicklern Zeit für Validierungen zu geben. Die wichtigste Änderung der Spezifikation besteht darin, dass das Protokoll auf der Transportebene vollständig zustandslos wird. Dies soll den Einsatz in cloud-nativen Umgebungen auf Unternehmensebene ermöglichen. Für ältere Versionen gilt eine Übergangsfrist von zwölf Monaten.
Eine Analyse des IT-Sicherheitsunternehmens Akamai zeigt, dass die Aktualisierung zwar ältere Risiken wie das Protokoll-Sitzungshijacking oder unaufgeforderte Server-Abfragen eliminiert und den Standard OAuth 2.1 vorschreibt. Gleichzeitig verschieben sich die Sicherheitsverantwortlichkeiten jedoch grundlegend vom Protokoll selbst hin zu den Entwicklern und Plattformbetreibern.
Neue KI-Sicherheitsrisiken durch Identifikatoren und HTTP-Header
Da das Protokoll keine permanenten Sitzungen mehr verwaltet, übergibt der Server nun Tracking-Identifikatoren und Zustandsobjekte an den Client. Manipulationen oder das Erraten dieser Identifikationsnummern ermöglichen es Angreifern, aktive Arbeitsabläufe zu übernehmen oder auf Daten fremder Agenten zuzugreifen. Zudem führt das Protokoll spezifische HTTP-Header ein. Wenn Entwickler vertrauliche Daten wie API-Schlüssel oder personenbezogene Informationen versehentlich in diese Header einfügen, werden diese für alle zwischengeschalteten Proxys und Protokollierungssysteme sichtbar. Auch Desynchronisations-Angriffe durch widersprüchliche Angaben in Headern und Datenpaketen sind möglich.
Gefahren durch interaktive Oberflächen und asynchrone Aufgaben
Weitere Angriffsflächen entstehen durch die Einführung von sogenannten MCP Apps, die interaktive Benutzeroberflächen über isolierte Iframes bereitstellen. Diese Funktionalität öffnet die Tür für klassische Web-Gefahren wie permanentes Cross-Site Scripting, wodurch manipulierte Oberflächen für Phishing-Angriffe genutzt werden können. Darüber hinaus schafft das Ausführen von langlaufenden, asynchronen Hintergrundaufgaben ein erhebliches Risiko für Denial-of-Service-Angriffe.
Da das Erstellen einer Aufgabe für den Client kaum Ressourcen erfordert, für den Server jedoch rechenintensiv ist, können Angreifer durch wiederholte Abfragen Server-Ressourcen gezielt erschöpfen. Maxim Zavodchik, leitender Direktor für Bedrohungsforschung bei Akamai, kommentierte die veränderte Sicherheitsarchitektur wie folgt:
„Da das Protokoll auf ein zustandsloses Modell umgestellt wird und funktionsreiche UI-Apps sowie asynchrone Aufgaben einführt, hängen kritische Sicherheitsgrenzen nun vollständig davon ab, wie Entwickler sie implementieren.“
Maxim Zavodchik, leitender Direktor für Bedrohungsforschung bei Akamai
Die Sicherheit der Systeme wird künftig maßgeblich von den konkreten Implementierungsentscheidungen der Unternehmen bestimmt.
(red)
