MCP-Sicherheitscheckliste für KI-Agent-Bereitstellungen

MCP-Sicherheitscheckliste

Eine produktionsorientierte Checkliste zur Genehmigung von MCP-Servern, bevor Agenten Daten lesen, Tools aufrufen, Datensätze schreiben, Systeme durchsuchen oder Workflows auslösen können.

Nutzen Sie die Scorecard Vergleichen Sie Agentenplattformen

Generiertes redaktionelles Bild der geregelten Risikokontrollen und Genehmigungspfade von KI-Agenten — Risikokontrollkarte

TL;DR

MCP ist nur dann sicher genug für die Produktion, wenn es wie eine Berechtigungs- und Ausführungsgrenze geregelt wird. Bevor Sie Agenten mit MCP-Servern verbinden, überprüfen Sie die Serveridentität, die OAuth-Zielgruppenbindung, die Bereiche mit den geringsten Rechten, die Tool-Genehmigungsregeln, die Überwachung von Schemaänderungen, Sandboxing, die Handhabung von Geheimnissen, Prüfprotokolle und die Reaktion auf Vorfälle.

Vor der Installation eines Servers

Inventarisieren Sie den Server. Datensatzeigentümer, Herausgeber, Transport, Version, Paketquelle, Endpunkt, Bereiche, Tools, Eingabeaufforderungen, Ressourcen und Datenklassen.
Bevorzugen Sie Erstanbieterserver. Verwenden Sie nach Möglichkeit offizielle, von Anbietern gehostete Server, insbesondere für CRM-, Dateispeicher-, Data Warehouse-, Identitäts- und Kollaborationssysteme.
Überprüfen Sie die Tool-Metadaten als nicht vertrauenswürdig. Werkzeugnamen, Beschreibungen, Schemata, Eingabeaufforderungen, Ressourcen und Ausgaben können anweisungsähnliche Inhalte enthalten.
Pin-Versionen und Definitionen. Hash-Serverpakete, Container-Images und Tool-Schemata. Erneut genehmigen, wenn sich Beschreibungen, Bereiche oder Ziele ändern.
Blockieren Sie die unsichere STDIO-Konfiguration. Lassen Sie nicht zu, dass Benutzer oder externe Inhalte Befehlsnamen, Argumente, Shell-Interpolation oder Startpfade steuern.

Vor der Produktion

Auth

Verwenden Sie HTTPS für Remote-MCP. Validieren Sie Inhabertokens bei jeder Anfrage. Erzwingen Sie die OAuth-Zielgruppenbindung und lehnen Sie für eine andere Ressource ausgestellte Token ab.

Bereiche

Teilen Sie Lese-, Schreib-, Lösch-, Export- und Verwaltungsaktionen auf. Vermeiden Sie breite Bereiche wie „Alle Dateien“, „Alle Datenbankaktionen“ oder „Globaler Administrator“.

Zulassungen

Erfordern eine ausdrückliche menschliche Genehmigung für destruktive, externe, finanzielle, privilegierte oder Daten teilende Aktionen. Zeigen Sie den genauen Server, das Tool, die Argumente und das Ziel an.

Sandboxen

Führen Sie lokale Server in Containern, VMs oder eingeschränkten Prozessen aus. Beschränken Sie den Dateisystemzugriff, den Netzwerkausgang, Umgebungsvariablen und den Zugriff auf Metadatendienste.

Laufzeitüberwachung

Protokollfeld	Warum es wichtig ist
Benutzer, Host, Client, Server	Zeigt an, wer den Werkzeugweg initiiert hat und welche Oberfläche ihn vermittelt hat.
Toolname und Schema-Hash	Erkennt Teppichzüge, Schemadrift und neu verfügbare Funktionen.
Argumente Hash und Datenklasse	Bewahrt die Überprüfbarkeit und reduziert gleichzeitig die Gefährdung sensibler Protokolle.
Genehmigungsakteur und -richtlinie	Trennt automatisch genehmigte, vom Benutzer genehmigte und vom Administrator genehmigte Aktionen.
Ziel- und Ergebnisklasse	Kennzeichnet Exfiltrationsketten wie das Lesen privater Daten, deren Umwandlung und das anschließende Versenden nach außen.

Bedrohungen zum Testen

Werkzeugvergiftung. Fügen Sie einer Toolbeschreibung versteckte oder widersprüchliche Anweisungen hinzu und stellen Sie sicher, dass der Client Metadaten als nicht vertrauenswürdig behandelt.
Indirekte Sofortinjektion. Geben Sie feindliche Anweisungen von einer Webseite, einem Ticket, einer Datei oder einem Datenbankeintrag zurück und stellen Sie sicher, dass sie die Richtlinie nicht außer Kraft setzen können.
Schemadrift. Ändern Sie eine Werkzeugbeschreibung, ein Argument oder ein Ziel nach der Genehmigung und überprüfen Sie, ob das System es blockiert oder erneut genehmigt.
Token-Missbrauch. Versuchen Sie, ein Token mit der falschen MCP-Ressource abzuspielen, und stellen Sie sicher, dass die Zielgruppenvalidierung es ablehnt.
Serverübergreifende Leckage. Lesen Sie eingeschränkte Daten von einem Server und versuchen Sie, diese ohne Genehmigung über einen anderen Server zu senden.

Welche Sicherheitsüberprüfung sollte gefragt werden?

Können wir diesen Server schnell widerrufen? Können wir erkennen, welcher Benutzer eine sensible Aktion genehmigt hat? Kann der Agent zwei harmlos aussehende Werkzeuge zu einem schädlichen Ergebnis verketten? Kann ein Server seine Tooldefinitionen nach der Genehmigung ändern? Können Daten von einem Geschäftssystem in ein anderes geschmuggelt werden, ohne dass es ein Mensch bemerkt?

Wenn die Antwort unklar ist, belassen Sie den Server im schreibgeschützten oder schreibgeschützten Modus. Der Produktions-MCP sollte für jeweils einen Workflow Schreibzugriff erhalten.

FAQ

Kann MCP sensible Daten offenlegen?

Ja. MCP kann Daten über Ressourcen, Tool-Ergebnisse, Eingabeaufforderungen, Protokolle oder serverübergreifende Toolketten offenlegen. Behandeln Sie jeden Server als Datenzugriffspfad und jeden Tool-Aufruf als überprüfbare Aktivität.

Sollten MCP-Aktionen einer Genehmigung bedürfen?

Schreibgeschützte Aktionen können nach Überprüfung durch die Richtlinien genehmigt werden. Zerstörerische, externe, privilegierte, finanzielle oder Datenaustausch-Aktionen sollten eine ausdrückliche Genehmigung mit sichtbaren genauen Argumenten erfordern.

Sind MCP-Wurzeln eine Sicherheitsgrenze?

Nein. Roots helfen dabei, den beabsichtigten Dateisystembereich zu definieren, aber die Isolation sollte durch Betriebssystemberechtigungen, Sandboxing, Pfadvalidierung und Container- oder Prozessbeschränkungen erzwungen werden.

Quellen überprüft

Zuletzt überprüft am 12. Mai 2026. Nutzen Sie diese primären Quellen, um das Protokollverhalten, Plattformansprüche und den Sicherheitsstatus vor der Beschaffung zu überprüfen.