Anthropics Referenz-Software: Drei kritische KI-Sicherheitslücken entdeckt

KI-Referenzcode von Anthropic enthielt gravierende Schwachstellen, die zu Remote-Code-Ausführung führen konnten. Die Sicherheitslücken im offiziellen Git-MCP-Server des KI-Unternehmens offenbaren gefährliche Risiken im aufstrebenden Ökosystem autonomer KI-Agenten. Für deutsche Unternehmen, die auf KI-Integration setzen, ist dies ein Weckruf.

Die toxische Kombination: So funktioniert der Angriff

Forscher des israelischen KI-Sicherheits-Startups Cyata Security haben drei kritische Schwachstellen (CVEs) im Referenzserver mcp-server-git von Anthropic aufgedeckt. Dieser Code sollte Entwicklern als Mustervorlage dienen, um Sprachmodelle sicher mit Git-Repositories zu verbinden. Einzeln betrachtet wirkten die Komponenten sicher – in der Interaktion eines KI-Agenten entfalteten sie jedoch eine gefährliche Wirkung.

„Es ist eine toxische Kombination“, erklärt Shahar Tal, Mitgründer von Cyata Security. Der Angriffsvektor nutzt Prompt Injection: Ein Angreifer platziert manipulierten Text – etwa in einer README-Datei –, den der KI-Agent liest und verarbeitet. Dieser lässt sich so dazu verleiten, die Schwachstellenkette auszulösen, ohne dass der Angreifer direkten Systemzugriff benötigt.

Viele Unternehmen reagieren auf solche Meldungen mit schnellen Patches – doch agentenbasierte Angriffe verlangen mehr. Unser kostenloses E‑Book “Cyber Security Awareness Trends” zeigt praxisnah, wie Sie KI‑Agenten sicher isolieren, Berechtigungen korrekt einschränken und Prompt‑Injection‑Angriffe frühzeitig erkennen. Enthalten sind Checklisten für DevOps, Compliance‑Kriterien und konkrete Sofortmaßnahmen, die sich in bestehende Abläufe integrieren lassen. Ideal für IT‑Leiter, Sicherheits- und Compliance‑Verantwortliche. Jetzt kostenlosen Cyber-Security-Guide herunterladen

• Unkontrollierte Erstellung von Git-Repositories im Dateisystem (CVE-2025-68143)
• Einschleusen von Befehlen in Git-Diff-Aufrufe (CVE-2025-68145)
• Umgehung der Pfadvalidierung, um auf nicht freigegebene Repositorys zuzugreifen (CVE-2025-68144)

Im schlimmsten Fall, kombiniert mit einem Dateisystem-Server, hätte dies zu Remote Code Execution (RCE) führen können – der vollständigen Übernahme des Systems.

Vertrauensbruch: Sicherheitslücken in der Referenz-Implementierung

Besonders alarmierend ist der Fundort: Die Schwachstellen steckten in der kanonischen Referenz-Implementierung von Anthropic selbst. Diese Software gilt als Goldstandard und Vorbild für sichere KI-Integrationen. Ein gravierender Vertrauensbruch für Compliance-Verantwortliche und Datenschutzbeauftragte.

„Das unterstreicht eine fundamentale Governance-Herausforderung“, analysiert ein Branchenexperte. Die Software-Lieferkette für KI-Agenten wird immer komplexer. Enthalten bereits die Referenzcodes großer Anbieter grundlegende Sicherheitsfehler, ist die Auswirkung auf Unternehmensumgebungen potenziell flächendeckend. Besonders gefährdet sind frühe Nutzer des MCP-Standards mit Installationen vor dem 18. Dezember 2025.

Reaktion und Gegenmaßnahmen: Jetzt handeln

Nach einer verantwortungsvollen Offenlegung im Juni 2025 veröffentlichte Anthropic bereits Mitte Dezember 2025 Patches. Die riskante git_init-Funktion wurde entfernt und die Pfadvalidierung deutlich verschärft.

Die dringende Empfehlung für alle Nutzer des Model Context Protocol (MCP) lautet: Sofort auf die neueste Version updaten. Doch Patchen allein reicht nicht. Sicherheitsexperten raten zu einer ganzheitlichen Überprüfung der Agenten-Berechtigungen.

„Behandeln Sie alle MCP-Tool-Argumente als nicht vertrauenswürdige Eingaben“, so der Tenor. Zudem sollten verschiedene MCP-Server strikt voneinander isoliert werden – insbesondere der Dateisystem-Zugriff von anderen Tool-Fähigkeiten. Dies verhindert die beschriebene Kettenausnutzung der Schwachstellen.

Analyse: Ein Log4j-Moment für die KI-Welt?

Das Model Context Protocol (MCP) sollte eigentlich Fragmentierung beenden. Anthropic führte den offenen Standard Ende 2024 ein, um KI-Assistenten einheitlich mit Datenbanken, Code-Repositories und Plattformen zu verbinden. Doch der Vorfall zeigt: Der Eifer, „agentische“ Fähigkeiten zu standardisieren – bei der KI Aktionen ausführt, anstatt nur Text zu generieren – öffnet neue Angriffsvektoren.

Die Parallele zu früheren Weckrufen der Supply-Chain-Sicherheit wie Log4j liegt nahe, doch mit einem KI-spezifischen Dreh: Der Exploit-Mechanismus nutzt die kognitive Verarbeitung von Text durch das Sprachmodell selbst. Für Unternehmen bedeutet das eine notwendige Anpassung ihrer Datenschutzstrategien.

Governance-Rahmenwerke müssen nun „indirekte Prompt-Injection“ berücksichtigen. Dabei kann nicht vertrauenswürdiger Datenverkehr aus E-Mails, Code oder Webseiten interne KI-Agenten zu unautorisierten Aktionen manipulieren.

Ausblick: Strengere Regulierung und unabhängige Prüfung

Dieser Vorfall wird die regulatorische Prüfung von KI-Agenten-Architekturen 2026 deutlich verschärfen. Die Branche erwartet eine schnellere Adoption von „KI-Firewalls“ und granulareren Berechtigungssystemen, die die Handlungsfähigkeit eines kompromittierten Agenten begrenzen.

Für Entwickler und Unternehmen heißt das: Die „kanonische“ Stellung von Anbieter-Code bietet keinen Sicherheitsgarantie mehr. Unternehmens-Compliance-Teams werden künftig unabhängige Validierungen vor der Implementierung durchführen müssen. Von Anthropic und anderen großen KI-Anbietern sind in den kommenden Monaten aktualisierte Best Practices für die MCP-Sicherheit zu erwarten – mit Fokus auf der Isolation sensibler Tools und der Bereinigung von Eingaben auf Protokollebene.

PS: Sie rechnen mit verschärfter Regulierung und möchten technische wie organisatorische Risiken von KI‑Agenten pragmatisch mindern? Unser Gratis‑Leitfaden verbindet Awareness‑Trends mit budgetfreundlichen Schutzmaßnahmen gegen RCE‑Risiken, inklusive Empfehlungen zur Integration in bestehende Compliance‑Abläufe. Perfekt für Verantwortliche, die Sicherheit, Datenschutz und regulatorische Anforderungen praktisch zusammenführen wollen. Kostenloses Cyber‑Security‑Workbook anfordern