Dein Team hat letzten Monat ein Dutzend MCP-Server an eure KI-Agenten angeschlossen. GitHub, Slack, Jira, vielleicht ein oder zwei Datenbanken. MCP — Model Context Protocol — ist wie ein universeller USB-Anschluss für KI-Tools: Server anstecken, und dein KI-Agent kann Tickets erstellen, Nachrichten senden, Daten abfragen. Funktioniert einfach. Fühlt sich an wie Magie.

Aber hat irgendjemand geprüft, wer diese Server pflegt? Wann der Code zuletzt aktualisiert wurde? Ob jemals ein Mensch drübergeschaut hat? Wahrscheinlich nicht — denn MCP hat das Verbinden von Tools so einfach gemacht wie das Installieren einer Browser-Erweiterung.

Die Hütte brennt

In den ersten zwei Aprilwochen 2026 war Schluss mit der Magie.

Am 11. April wurde CVE-2026-5058 veröffentlicht — eine Command-Injection-Lücke im AWS MCP Server mit CVSS 9.8. Am 3. April traf es Microsofts Azure DevOps MCP Server mit CVE-2026-32211 — CVSS 9.1, null Authentifizierung bei einem Server, der Enterprise-Entwicklungsinfrastruktur verwaltet. Zwei Billionen-Dollar-Konzerne, zwei Server, mit denen deine Agenten wahrscheinlich verbunden sind, beide sperrangelweit offen. Die Details sind weniger wichtig als das Muster: Wenn AWS und Microsoft ihre eigenen MCP-Server nicht absichern können, welche Chance hat dann der Community-Server eines Solo-Maintainers?

Kein Lockfile, keine Sicherheit

Das MCP-Ökosystem umfasst mittlerweile über 16.000 Community-Server. Ein Qualys-Audit vom 20. März — Wochen bevor die April-CVEs einschlugen — zeigte bereits die Risse im Fundament: 53 % der Server verließen sich auf statische Secrets — hartcodierte Passwörter, die nie rotiert werden.

Und hier wird es schlimmer als bei npm — dem Paketmanager, den JavaScript-Entwickler kennen und fürchten. npm-Pakete lassen sich versionspinnen: Du wählst eine Version, pinnst sie fest, und ein bösartiges Update rührt dich nicht an, bis du dich bewusst zum Upgrade entscheidest. MCP-Server, die über SSE (Server-Sent Events — eine Methode, mit der ein Server Live-Updates an deine App pusht) laufen, sind Live-Dienste. Wenn der Maintainer Code pusht, bekommt jeder verbundene Agent das neue Verhalten sofort. Kein Lockfile. Kein Review. Keine Zustimmung.

Ein Tool-Schema — der Vertrag, der deinem KI-Agenten sagt, was ein Server kann — kann über Nacht lautlos geändert werden. Keine Prüfsumme. Keine Diff-Benachrichtigung. Kein Äquivalent zu package-lock.json. Dein Agent hat am Montag "Lesezugriff auf GitHub Issues" angefragt; bis Donnerstag könnte derselbe Server "Schreibzugriff auf alle Repositories" verlangen, und dein Agent würde gehorchen, weil er der Server-Identität vertraut — nicht dem Berechtigungsset.

Wenn sich das so anhört, als würdest du jemandem deinen Haustürschlüssel geben und darauf vertrauen, dass er nie das Schloss gegen dich austauscht — ja, das trifft es ziemlich genau.

475 bösartige Pull Requests in 26 Stunden

Der Beweis kam am 4. April. Wiz Research veröffentlichte die prt-scan-Kampagne: ein Angreifer, sechs gefälschte GitHub-Accounts, 475 bösartige Pull Requests — Code-Änderungsvorschläge — auf Agent-Tool-Repos abgefeuert an einem einzigen Tag. Die Payloads stahlen AWS-Keys, GitHub-Tokens, Cloudflare-API-Tokens. Der Angreifer kompromittierte mindestens zwei npm-Pakete über 106 veröffentlichte Versionen. Wiz beschrieb den Ansatz als "Automatisierung, nicht Verständnis" — aufwendige mehrstufige Payloads von jemandem, der GitHubs Sicherheitsmodell nicht vollständig verstand, aber trotzdem echten Schaden anrichtete.

Dann fiel am 16. April CVE-2026-33032: MCPwn, ein CVSS-9.8-Auth-Bypass in der MCP-Integration von nginx-ui, aktiv ausgenutzt über 2.600 exponierte Instanzen in über 50 Ländern. Der Fix? Siebenundzwanzig Zeichen Code — ein einziger Middleware-Aufruf. Sicherheitsforscher Yotam Perkal brachte es auf den Punkt: "Wenn du MCP an eine bestehende Anwendung anschraubst, erben die MCP-Endpunkte die vollen Fähigkeiten der Anwendung — aber nicht unbedingt ihre Sicherheitskontrollen."

Siebenundzwanzig Zeichen standen zwischen 2.600 Servern und totaler Kompromittierung. Lass das sacken.

Wo ist das Sicherheitsnetz?

Niemand hat bisher npm audit für MCP gebaut. Kein ökosystemweites Vulnerability-Scanning. Keine Dependency-Lockfiles für Tool-Schemas. Die offizielle MCP Registry nutzt Namespace-Authentifizierung über GitHub-Accounts, aber es gibt kein verpflichtendes Code-Audit, keine Maintainer-Verifizierung jenseits des Nachweises, dass dir eine Domain gehört. Tools wie mcp-scan existieren, aber die Verbreitung ist mikroskopisch im Vergleich zu dem, was das Ökosystem braucht.

Derweil verkabeln Unternehmen diese Server in produktive Agent-Workflows — autonome KI-Systeme, die Tickets erstellen, Code pushen und Datenbanken abfragen, ohne dass ein Mensch jedes Mal auf "Genehmigen" klickt. Qualys nennt MCP-Server "die neue Schatten-IT": Sie verstecken sich hinter localhost, zufälligen Ports und IDE-Plugins, unsichtbar für jedes herkömmliche Sicherheitstool.

Was du wirklich tun solltest

Bevor du den nächsten Community-MCP-Server an deine Produktiv-Agenten anschließt:

  • Prüf die Maintainer-Anzahl. Eine Person = Bus-Faktor eins. Wenn sie keine Lust mehr hat, erbst du ihre Sicherheitsschulden.
  • Überprüf das Datum des letzten Commits. Aufgegebener Code wird nicht gepatcht.
  • Lies die Tool-Beschreibungen. Prompt Injection — das Austricksen von KI zu unbeabsichtigten Aktionen — versteckt sich in Klartext, auch in Server-Metadaten.
  • Pinne eine geprüfte Version lokal. Betreib MCP-Server von einer lokalen Kopie, die du reviewt hast, nicht von einem Live-Remote-Endpunkt.
  • Hab einen Ersatzplan. Wenn der Server verschwindet — nicht falls — musst du ihn austauschen können, ohne deine Agenten zu zerschießen.

Die Uhr tickt

npm hat 15 Jahre gebraucht, um zu lernen, dass Open-Source-Supply-Chains Governance brauchen — von left-pad, das 2016 das halbe Internet lahmlegte, über event-stream, das 2018 Kryptowährung stahl, bis zur verpflichtenden Zwei-Faktor-Authentifizierung für Maintainer 2022. MCP speedrunt dieselbe Lektion in 18 Monaten, mit höherem Einsatz: Das sind keine Libraries, die deine App bauen — das sind Live-Dienste, die als deine App handeln.

Der erste große Breach — kein CVE, kein Proof of Concept, sondern echte Kundendaten, die durch einen kompromittierten MCP-Server abfließen — wird entscheiden, ob das Ökosystem Sicherheitsinfrastruktur aufbaut oder einfach weiter Server baut.

Mein Geld liegt auf den Servern.