Modellkontextprotokoll Bedrohungsmodellierung und Analyse von Schwachstellen gegenüber Prompt-Injektion mit Werkzeugvergiftung

Das Model Context Protocol (MCP) hat sich schnell als universeller Standard für die Verbindung von KI-Assistenten mit externen Werkzeugen und Datenquellen etabliert. Während das MCP die Integration zwischen KI-Anwendungen und verschiedenen Diensten vereinfacht, bringt es erhebliche Sicherheitslücken mit sich, insbesondere auf der Client-Seite. In dieser Arbeit führen wir Bedrohungsmodellierungen von MCP-Implementierungen mit den STRIDE- (Spoofing, Manipulation, Abstreitbarkeit, Informationsoffenlegung, Dienstverweigerung, Privilegienerweiterung) und DREAD- (Schaden, Reproduzierbarkeit, Ausnutzbarkeit, Betroffene Nutzer, Entdeckbarkeit) Frameworks über sechs Schlüsselkomponenten hinweg durch: MCP-Host, MCP-Client, LLM, MCP-Server, externe Datenspeicher und Autorisierungsserver. Diese umfassende Analyse zeigt, dass Werkzeugvergiftung – bei der bösartige Anweisungen in Werkzeug-Metadaten eingebettet sind – die am häufigsten auftretende und wirksamste Schwachstelle auf der Client-Seite darstellt. Wir konzentrieren daher unsere empirische Bewertung auf diesen kritischen Angriffsvektor und bieten einen systematischen Vergleich, wie sieben wichtige MCP-Clients Werkzeugvergiftungsangriffe validieren und abwehren. Unsere Analyse offenbart erhebliche Sicherheitsprobleme bei den meisten getesteten Clients aufgrund unzureichender statischer Validierung und mangelnder Parametertransparenz. Wir schlagen eine mehrschichtige Verteidigungsstrategie vor, die statische Metadatenanalyse, Nachverfolgung von Modellentscheidungswegen, Verhaltensanomalieerkennung und Mechanismen zur Nutzertransparenz umfasst. Diese Forschung schließt eine kritische Lücke in der MCP-Sicherheit, die bisher hauptsächlich serverseitige Schwachstellen fokussierte, und bietet umsetzbare Empfehlungen sowie Gegenmaßnahmen zur Sicherung von KI-Agenten-Ökosystemen.