6. Composability Chaining
MCP-Server von Drittanbietern ungeprüft einzusetzen, ist wie bereits erwähnt keine gute Idee. Die müssen dabei nicht unbedingt selbst manipuliert sein, sondern senden unter Umständen Anfragen an einen zweiten Distant-Server. Diesen MCP-Angriffsvektor bezeichnen die Experten von CyberArk als “Composability Chaining“.
Dieser zweite MCP-Server könnte auf den ersten Blick legitime Outputs liefern, die allerdings mit versteckten, bösartigen Prompts “gespickt” sind. Diese kombiniert der erste MCP-Server mit seinen eigenen Outputs und leitet alles zusammen an den KI-Agenten weiter – der die Anweisungen dann ausführt. Sind smart Daten in den Umgebungsvariablen enthalten, können diese mit Hilfe dieser Methode exfiltriert werden, obwohl nie eine direkte Verbindung zum Distant-Server bestanden hat.
7. Person Fatigue
Auch Unternehmen, die alle Aktionen von KI-Agenten durch menschliche Experten genehmigen lassen, sind nicht auf der sicheren Seite. So legt etwa Palo Alto Networks in einem Blogbeitrag nahe, dass bösartige MCP-Server KI-Agenten (und die menschlichen Kontrolleure) mit harmlosen Anfragen überfluten könnten – etwa für Leseberechtigungen. Nimmt das Überhand, könnte es dazu führen, dass die Benutzer die Anfragen ab einem gewissen Punkt einfach genehmigen, ohne genau hinzusehen – und der Zeitpunkt für einen bösartigen Immediate (der mitunter intestine in langen Texten versteckt ist) ist gekommen.
