Zum Inhalt springen

Microsoft: Vergiftete MCP-Werkzeugbeschreibungen ermöglichen Datenlecks durch KI-Agenten

Auf den Punkt: Angreifer können KI-Agenten über manipulierte Werkzeugbeschreibungen in MCP-Systemen zur Datenabfuhr nutzen, ohne dass Standard-Sicherheitskontrollen Alarm schlagen.

Microsoft-Forschung zeigt, wie Angreifer KI-Agenten über manipulierte Werkzeugbeschreibungen kapern können, um Unternehmensdaten an Außenstehende weiterzugeben, ohne dabei erkennbar gegen Sicherheitsregeln zu verstoßen.

Das Angriffsszenario nutzt Model Context Protocol (MCP) — einen Standard für die Integration von Werkzeugen in KI-Agenten-Systeme. Angreifer manipulieren die Beschreibungstexte solcher Werkzeuge, sodass der Agent diese „normal” als routine Aufgaben ausführt. Die Manipulation bleibt unter der Oberfläche: Der Agent befolgt formal alle definierten Richtlinien, es gibt keine erkennbare Regelüberschreitung und Standard-Logging erfasst keine Anomalie.

Das Risiko liegt in der Vertrauenskette: Wenn ein KI-Agent ein Werkzeug aufgerufen hat, wird die Werkzeugbeschreibung vom Agent als autoritativ behandelt. Eine vergiftete Beschreibung kann den Agent dazu bringen, Daten an unerwartete Ziele zu senden oder Operationen auszuführen, die dem legitimen Zweck des Werkzeugs widersprechen, aber nicht als solche erkannt werden.

Für CISOs bedeutet das: Agenten-basierte Automatisierung erfordert neue Kontrollen. Die Validierung von Werkzeugquellen, Beschreibungsintegrität und das Monitoring von Datenflüssen zwischen Agent und Werkzeugen werden kritisch. Besonders bei Agenten, die auf Unternehmensdaten mit Produktiv-Zugriffen arbeiten, ist Vorsicht angebracht.


Quelle: thehackernews.com · Erschienen 30. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: