{"id":14568,"date":"2025-08-06T04:50:09","date_gmt":"2025-08-06T04:50:09","guid":{"rendered":"https:\/\/newestek.com\/?p=14568"},"modified":"2025-08-06T04:50:09","modified_gmt":"2025-08-06T04:50:09","slug":"wie-model-context-protocol-gehackt-wird","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14568","title":{"rendered":"Wie Model Context Protocol gehackt wird"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large is-resized\"> srcset=&#8221;https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?quality=50&amp;strip=all 4262w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=300%2C168&amp;quality=50&amp;strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=768%2C432&amp;quality=50&amp;strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=1024%2C576&amp;quality=50&amp;strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=1536%2C864&amp;quality=50&amp;strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=2048%2C1152&amp;quality=50&amp;strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=1240%2C697&amp;quality=50&amp;strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=150%2C84&amp;quality=50&amp;strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=854%2C480&amp;quality=50&amp;strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=640%2C360&amp;quality=50&amp;strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=444%2C250&amp;quality=50&amp;strip=all 444w&#8221; width=&#8221;1024&#8243; height=&#8221;576&#8243; sizes=&#8221;(max-width: 1024px) 100vw, 1024px&#8221;&gt;<figcaption class=\"wp-element-caption\">Sicherheitsentscheider sollten tunlichst vermeiden, dass MCP-Stricke rei\u00dfen.<\/figcaption><\/figure>\n<p class=\"imageCredit\">Victor Moussa | shutterstock.com<\/p>\n<\/div>\n<p>Der quelloffene Standard Model Context Protocol (<a href=\"https:\/\/www.computerwoche.de\/article\/3974991\/model-context-protocol-ist-revolutionar.html\" target=\"_blank\">MCP<\/a>) l\u00e4sst KI-Systeme ohne Integrationsaufwand mit einer Vielzahl von Datenquellen, Tools und Diensten interagieren. Und schafft damit unter anderem die Grundlage f\u00fcr <a href=\"https:\/\/www.computerwoche.de\/article\/4023387\/wie-agentic-ai-den-ausendienst-umkrempelt.html\" target=\"_blank\">Agentic AI<\/a>.\u00a0Unternehmen, die MCP-Server als Teil ihrer KI-Strategien einsetzen m\u00f6chten, sollten sich jedoch auch der damit verbundenen Risiken bewusst sein. <\/p>\n<p>Deshalb haben wir in diesem Artikel die zehn gr\u00f6\u00dften <a href=\"https:\/\/www.csoonline.com\/article\/3495294\/schwachstellen-managen-die-6-besten-vulnerability-management-tools.html\" target=\"_blank\">Schwachstellen<\/a> in Zusammenhang mit Model Context Protocol f\u00fcr Sie zusammengestellt. \u00a0\u00a0<\/p>\n<h2 class=\"wp-block-heading\" id=\"1-cross-tenant-datenlecks\">1. Cross-Tenant-Datenlecks<\/h2>\n<p>\u00c4hnlich wie bei <a href=\"https:\/\/www.csoonline.com\/article\/3492314\/cross-site-scripting-erklart-was-ist-ein-xss-angriff.html\" target=\"_blank\">Cross-Site-Scripting-Angriffen<\/a> erm\u00f6glicht eine Tenant-\u00fcbergreifende Datenoffenlegung es einer Gruppe von Benutzern, auf Daten anderer User zuzugreifen. Das kann interne Teams oder auch Gesch\u00e4ftspartner und Kunden betreffen. Die Tatsache, dass diese Schwachstelle bereits in der MCP-Server-Implementierung von Asana <a href=\"https:\/\/www.csoonline.com\/article\/4011023\/mcp-bug-bei-asana-konnte-unternehmensdaten-offengelegt-haben.html\" target=\"_blank\">entdeckt wurde<\/a>, sollte ein Warnsignal darstellen.<\/p>\n<p>Laut den Forschern von UpGuard, die das Problem beim Tool-Anbieter eingehend <a href=\"https:\/\/www.upguard.com\/blog\/asana-discloses-data-exposure-bug-in-mcp-server\" target=\"_blank\" rel=\"noreferrer noopener\">analysiert haben<\/a>, besteht die L\u00f6sung darin, sicherzustellen, dass MCP-Server eine strikte Mandantentrennung durchsetzen. Au\u00dferdem sollte beim Zugriff das Least-Privilege-Prinzip angewendet werden.<\/p>\n<h2 class=\"wp-block-heading\" id=\"2-versteckte-prompt-injection\">2. Versteckte Prompt Injection<\/h2>\n<p>Ein Angreifer, der sich als Mitarbeiter, Gesch\u00e4ftspartner oder Kunde ausgibt, sendet eine Anfrage an einen menschlichen Support-Mitarbeiter. Diese enth\u00e4lt jedoch einen <a href=\"https:\/\/www.csoonline.com\/article\/4021853\/google-gemini-lucke-ermoglicht-versteckte-phishing-angriffe.html\" target=\"_blank\">versteckten Prompt<\/a> mit Anweisungen, die nur die KI lesen kann. Leitet der Support-Mensch den Request dann einen KI-Assistenten weiter, der \u00fcber seine Verbindung zum MCP-Server auf sensible Daten und Gesch\u00e4ftsprozesse zugreifen kann, droht erheblicher Schaden.<\/p>\n<p>Um diese Schwachstelle zu schlie\u00dfen, empfiehlt es sich f\u00fcr Unternehmensanwender:<\/p>\n<ul class=\"wp-block-list\">\n<li>f\u00fcr KI-Interaktionen das Least-Privilege-Prinzip durchzusetzen,<\/li>\n<li>Prompts in Echtzeit auf verd\u00e4chtige Inhalte zu analysieren, und<\/li>\n<li>Audit-Protokolle aller MCP-Aktivit\u00e4ten zu f\u00fchren.<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\" id=\"3-tool-poisoning\">3. Tool Poisoning<\/h2>\n<p>Einen MCP-Server einzurichten, kann diffizil sein. Auch deshalb steht eine Vielzahl \u201cschl\u00fcsselfertiger\u201d MCP-Server <a href=\"https:\/\/mcp.so\/\" target=\"_blank\" rel=\"noreferrer noopener\">zum Download bereit<\/a>. Allerdings sollten Anwender davon absehen, einfach den erstbesten herunterzuladen, den die Google-Suche ausspuckt. Denn handelt es sich dabei um ein malizi\u00f6ses Exemplar, ist m\u00f6glicherweise das Beschreibungsfeld des MCP-Servers manipuliert, um Informationen aus anderen Systemen zu extrahieren \u2013 und dabei parallel Encryption- und Security-Ma\u00dfnahmen zu umgehen. Dieses Vorgehen demonstriert etwa der Sicherheitsanbieter Invariant Labs am Beispiel von WhatsApp <a href=\"https:\/\/invariantlabs.ai\/blog\/whatsapp-mcp-exploited\" target=\"_blank\" rel=\"noreferrer noopener\">im Rahmen eines Blogbeitrags<\/a>.<\/p>\n<p>Aber nicht nur das Beschreibungsfeld des MCP-Servers kann b\u00f6sartige Anweisungen enthalten. Die Angriffsfl\u00e4che erstreckt sich auf s\u00e4mtliche Informationen, die von MCP-Servern generiert werden. Darunter etwa:<\/p>\n<ul class=\"wp-block-list\">\n<li>Funktionsnamen,<\/li>\n<li>Parameter,<\/li>\n<li>Parameter-Standardwerte,<\/li>\n<li>Fehlermeldungen,<\/li>\n<li>Follow-Up-Prompts, oder<\/li>\n<li>erforderliche Felder und Typen.<\/li>\n<\/ul>\n<p>Um das zu verhindern, sollten Unternehmen im ersten Schritt pr\u00fcfen, ob die Download-Quelle vertrauensw\u00fcrdig ist. Im n\u00e4chsten Schritt empfiehlt es sich dann, die angeforderten Berechtigungen zu \u00fcberpr\u00fcfen. Ein MCP-Server, der Cat Content bereitstellen soll, ben\u00f6tigt keinen Zugriff auf Ihr Dateisystem. \u00dcberpr\u00fcfen Sie schlie\u00dflich, wenn m\u00f6glich auch den Quellcode. Das kann Schwierigkeiten aufwerfen \u2013 weswegen sich Hilfestellungen empfehlen. Etwa in Form des \u201c<a href=\"https:\/\/mcp.backslash.security\/\" target=\"_blank\" rel=\"noreferrer noopener\">MCP Server Security Hub<\/a>\u201c, den der Sicherheitsanbieter BackSlash bereitstellt.<\/p>\n<p>Dar\u00fcber hinaus sollten sich Anwender bewusst sein, dass es nicht ausreicht, einen MCP-Server nur einmal bei der Installation zu \u00fcberpr\u00fcfen. Schlie\u00dflich k\u00f6nnten Angreifer auch die Softwarelieferkette ins Visier nehmen und legitime Packages nachtr\u00e4glich mit Schadcode verseuchen \u2013 wie ein <a href=\"https:\/\/www.cyberark.com\/resources\/threat-research-blog\/poison-everywhere-no-output-from-your-mcp-server-is-safe\" target=\"_blank\" rel=\"noreferrer noopener\">Blogbeitrag von CyberArk<\/a> nahelegt.<\/p>\n<h2 class=\"wp-block-heading\" id=\"4-offene-prompt-injection\">4. \u201cOffene\u201d Prompt Injection<\/h2>\n<p>B\u00f6sartige Prompts m\u00fcssen nicht versteckt sein: Es ist auch m\u00f6glich, KI-Agenten dazu zu bringen, Daten preiszugeben oder Schadcode \u00fcber ein vertrauensw\u00fcrdiges MCP-Server-System auszuf\u00fchren \u2013 einfach, indem die Prompt Injection auf eine \u00f6ffentlich verf\u00fcgbare Plattform verlagert wird.<\/p>\n<p>Wie sich das bewerkstelligen l\u00e4sst, haben die Forscher von Variant Labs am Beispiel eines <a href=\"https:\/\/invariantlabs.ai\/blog\/mcp-github-vulnerability\" target=\"_blank\" rel=\"noreferrer noopener\">GitHub-MCP-Servers demonstriert<\/a>. Dabei erstellt ein Angreifer ein neues \u201cIssue\u201d in einem \u00f6ffentlichen Repository \u2013 inklusive Prompt Injection. Unternehmen, die KI-Agenten einsetzen, um beispielsweise alle offenen Probleme in diesem Repository zu \u00fcberpr\u00fcfen, tappen dann in die Falle: Der Agent verarbeitet den b\u00f6sartigen Prompt \u2013 beispielsweise eine Anweisung, s\u00e4mtliche privaten Daten in einem anderen, privaten GitHub-Repository zu sammeln, auf das er \u00fcber denselben MCP-Server Zugriff hat. Der GitHub-Server selbst wird dabei nicht kompromittiert. Er dient lediglich als Kanal, um den Angriff auszuf\u00fchren.<\/p>\n<p>Ein Gegenmittel w\u00e4re es, s\u00e4mtliche Tool-Aufrufe durch den menschlichen Benutzer best\u00e4tigen zu lassen. Allerdings sieht die Praxis in vielen F\u00e4llen ganz anders aus, wie die Invariant-Forscher in ihrem Blogbeitrag schreiben: \u201cViele User sind mit Blick auf KI-Agenten bereits auf eine \u201aAlways Allow\u2018-Richtlinie umgestiegen und \u00fcberpr\u00fcfen individuelle Aktionen nicht mehr.\u201d<\/p>\n<h2 class=\"wp-block-heading\" id=\"5-token-diebstahl\">5. Token-Diebstahl<\/h2>\n<p>Werden <a href=\"https:\/\/www.csoonline.com\/article\/3494981\/bosartige-oauth-apps-cyberangreifer-missbrauchen-microsoft-privilegien.html\" target=\"_blank\">OAuth-Token<\/a> unverschl\u00fcsselt in den Konfigurations- oder Code-Dateien des MCP-Servers gespeichert, k\u00f6nnen sie gestohlen werden. Dazu k\u00f6nnten Angreifer etwa eine Backdoor, Social Engineering und andere Methoden nutzen. Fallen die Authentifizierungs-Token Angreifern in die H\u00e4nde, k\u00f6nnen diese damit eigene MCP-Serverinstanzen erstellen, wie aus einem <a href=\"https:\/\/www.pillar.security\/blog\/the-security-risks-of-model-context-protocol-mcp\" target=\"_blank\" rel=\"noreferrer noopener\">Blogbeitrag von Pillar Security<\/a> hervorgeht.<\/p>\n<p>\u201cIm Gegensatz zu herk\u00f6mmlichen Konto\u00fcbernahmen kann die Verwendung eines gestohlenen Token \u00fcber MCP wie ein legitimer API-Zugriff erscheinen \u2013 was die Erkennung erschwert\u201d, warnen die Sicherheitsexperten. Geht es dabei beispielsweise um ein Gmail-Konto, k\u00f6nnten Cyberkriminelle auf diese Art und Weise auf den gesamten Email-Verlauf zugreifen, vermeintlich legitime E-Mails versenden, Daten l\u00f6schen, sensible Informationen extrahieren oder Weiterleitungsregeln einrichten, um die zuk\u00fcnftige Kommunikation zu \u00fcberwachen.<\/p>\n<h2 class=\"wp-block-heading\" id=\"6-composability-chaining\">6. Composability Chaining<\/h2>\n<p>MCP-Server von Drittanbietern ungepr\u00fcft einzusetzen, ist wie bereits erw\u00e4hnt keine gute Idee. Die m\u00fcssen dabei nicht unbedingt selbst manipuliert sein, sondern senden unter Umst\u00e4nden Anfragen an einen zweiten Remote-Server. Diesen MCP-Angriffsvektor bezeichnen die Experten von CyberArk als \u201c<a href=\"https:\/\/www.cyberark.com\/resources\/threat-research-blog\/is-your-ai-safe-threat-analysis-of-mcp-model-context-protocol\" target=\"_blank\" rel=\"noreferrer noopener\">Composability Chaining<\/a>\u201c.<\/p>\n<p>Dieser zweite MCP-Server k\u00f6nnte auf den ersten Blick legitime Outputs liefern, die allerdings mit versteckten, b\u00f6sartigen Prompts \u201cgespickt\u201d sind. Diese kombiniert der erste MCP-Server mit seinen eigenen Outputs und leitet alles zusammen an den KI-Agenten weiter \u2013 der die Anweisungen dann ausf\u00fchrt. Sind sensible Daten in den Umgebungsvariablen enthalten, k\u00f6nnen diese mit Hilfe dieser Methode exfiltriert werden, obwohl nie eine direkte Verbindung zum Remote-Server bestanden hat.<\/p>\n<h2 class=\"wp-block-heading\" id=\"7-user-fatigue\">7. User Fatigue<\/h2>\n<p>Auch Unternehmen, die alle Aktionen von KI-Agenten durch menschliche Experten genehmigen lassen, sind nicht auf der sicheren Seite. So legt etwa Palo Alto Networks in <a href=\"https:\/\/live.paloaltonetworks.com\/t5\/community-blogs\/mcp-security-exposed-what-you-need-to-know-now\/ba-p\/1227143\" target=\"_blank\" rel=\"noreferrer noopener\">einem Blogbeitrag<\/a> nahe, dass b\u00f6sartige MCP-Server KI-Agenten (und die menschlichen Kontrolleure) mit harmlosen Anfragen \u00fcberfluten k\u00f6nnten \u2013 etwa f\u00fcr Leseberechtigungen. Nimmt das \u00dcberhand, k\u00f6nnte es dazu f\u00fchren, dass die Benutzer die Anfragen ab einem gewissen Punkt einfach genehmigen, ohne genau hinzusehen \u2013 und der Zeitpunkt f\u00fcr einen b\u00f6sartigen Prompt (der mitunter gut in langen Texten versteckt ist) ist gekommen.<\/p>\n<p>\u201cDie Kernidee dieses Angriffs \u00e4hnelt der hinter <a href=\"https:\/\/www.csoonline.com\/article\/3492683\/was-ist-mfa-fatigue.html\" target=\"_blank\">MFA-Fatigue-Angriffen<\/a>. Die User werden dabei durch kontinuierliche Authentifizierungsaufforderungen \u00fcberfordert, mit dem Ziel unbefugten Entit\u00e4ten Zugriff zu gew\u00e4hren\u201d, erkl\u00e4rten die Palo-Alto-Forscher.<\/p>\n<h2 class=\"wp-block-heading\" id=\"8-admin-bypass\">8. Admin Bypass<\/h2>\n<p>Bei diesem Angriffsvektor werden gezielt MCP-Server ausgenutzt, die so konfiguriert sind, dass sie keine Identit\u00e4tspr\u00fcfung verlangen. Das k\u00f6nnte beispielsweise der Fall sein, wenn ein Unternehmen einen MCP-Server einrichtet, \u00fcber den KI-Agenten f\u00fcr Benutzer schnell und einfach Informationen abfragen sollen.<\/p>\n<p>Hat der User dabei lediglich Low-Level-Zugriff auf die Informationen und der MCP-Server \u00fcberpr\u00fcft dessen Identit\u00e4t nicht, kann der KI-Agent mehr Informationen abrufen, als der Benutzer sehen sollte. Steht der betreffende MCP-Server auch externen Benutzern wie Gesch\u00e4ftspartnern, Kunden oder sogar der \u00d6ffentlichkeit zur Verf\u00fcgung, k\u00f6nnte diese <a href=\"https:\/\/www.computerwoche.de\/article\/2797569\/was-sie-ueber-rechteausweitung-wissen-muessen.html\" target=\"_blank\">Privilege Escalation<\/a> noch zu weit gr\u00f6\u00dferem Schaden f\u00fchren.<\/p>\n<h2 class=\"wp-block-heading\" id=\"9-command-injection\">9. Command Injection<\/h2>\n<p>Leitet ein MCP-Server User-Input ohne ordnungsgem\u00e4\u00dfe Validierung direkt an andere Systeme weiter, k\u00f6nnen Benutzer eigene Befehle einschleusen \u2013 auf \u00e4hnliche Art und Weise wie bei <a href=\"https:\/\/www.computerwoche.de\/article\/2781118\/so-funktioniert-der-angriff-auf-ihre-datenbank.html\" target=\"_blank\">SQL-Injection-Attacken<\/a>. B\u00f6swillige Angreifer k\u00f6nnten das beispielsweise nutzen, um alle von einem MCP-Server freigegebenen Tools auf Schwachstellen f\u00fcr Command Injection testen.<\/p>\n<p>Wie bei anderen Arten von Injection-Attacken sollten MCP-Server so konfiguriert sein, dass sie Benutzereingaben niemals direkt an Shell-Befehle weiterleiten. Stattdessen empfiehlt es sich, Inputs ordnungsgem\u00e4\u00df zu validieren und parametrisierte Befehle zu verwenden.<\/p>\n<h2 class=\"wp-block-heading\" id=\"10-tool-shadowing\">10. Tool Shadowing<\/h2>\n<p>Kann ein KI-Agent auf mehrere MCP-Server zugreifen, k\u00f6nnte einer dieser Server den Agenten dazu verleiten, einen anderen Server <a href=\"https:\/\/acuvity.ai\/cross-server-tool-shadowing-hijacking-calls-between-servers\/\" target=\"_blank\" rel=\"noreferrer noopener\">unangemessen zu verwenden<\/a>.<\/p>\n<p>Ein fiktives Beispiel aus dem Healthcare-Bereich: Ein Unternehmen betreibt zwei MCP-Server. Der eine stammt von einem Drittanbieter und stellt allgemeine Informationen zu medizinischen Symptomen bereit, der andere Abrechnungsinformationen von Patienten. W\u00e4hrend der Server f\u00fcr das Abrechnungssystem sicher ist und wie vorgesehen funktioniert, wirkt der andere Server nur so \u2013 ist aber b\u00f6sartig und weist den KI-Agenten im Hintergrund an, Abrechnungsinformationen preiszugeben, beispielsweise, in dem er diese per Email verschickt. (fm)<\/p>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>srcset=&#8221;https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?quality=50&amp;strip=all 4262w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=300%2C168&amp;quality=50&amp;strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=768%2C432&amp;quality=50&amp;strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=1024%2C576&amp;quality=50&amp;strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=1536%2C864&amp;quality=50&amp;strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=2048%2C1152&amp;quality=50&amp;strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=1240%2C697&amp;quality=50&amp;strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=150%2C84&amp;quality=50&amp;strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=854%2C480&amp;quality=50&amp;strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=640%2C360&amp;quality=50&amp;strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2025\/07\/Victor-Moussa-shutterstock_1708840009_16z9.jpg?resize=444%2C250&amp;quality=50&amp;strip=all 444w&#8221; width=&#8221;1024&#8243; height=&#8221;576&#8243; sizes=&#8221;(max-width: 1024px) 100vw, 1024px&#8221;&gt;Sicherheitsentscheider sollten tunlichst vermeiden, dass MCP-Stricke rei\u00dfen. Victor Moussa | shutterstock.com Der quelloffene Standard Model Context Protocol (MCP) l\u00e4sst KI-Systeme ohne Integrationsaufwand mit einer Vielzahl von Datenquellen, Tools und Diensten interagieren. Und schafft damit unter anderem die Grundlage&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=14568\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14568","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14568","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14568"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14568\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14568"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14568"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14568"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}