Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Entwickler-Tool MCP Inspector von Anthropic entdeckt. Angreifer können dadurch ohne Authentifizierung Schadcode auf betroffenen Systemen ausführen – teils sogar über das Internet.
MCP Inspector ist ein Debugging-Tool für sogenannte MCP-Server, die in Anthropic-Systemen als Mittelschicht zwischen KI-Modellen und externen Anwendungen, Datenquellen oder Diensten fungieren. Es besteht aus zwei Komponenten: dem MCP-Inspector-Client, einem Web-Frontend zur Interaktion mit den Servern, und dem MCP Proxy, einem Node.js-basierten Hintergrunddienst, der Verbindungen zwischen dem Webinterface und den MCP-Servern herstellt – etwa über Protokolle wie stdio oder HTTP-Streams.
Die entdeckte Lücke beruht auf einer fehlenden Authentifizierung zwischen
Client und Proxy. Dadurch können Angreifer eigene Befehle einschleusen, etwa über manipulierte Webseiten mittels Cross-Site-Request-Forgery (CSRF) – selbst wenn der Proxy nur auf localhost lauscht. In der Standardkonfiguration fehlen Schutzmechanismen wie Verschlüsselung oder Session-Handling.
Die Probleme wurde in der Version 0.14.1 korrigiert.
