Künstliche Intelligenz (KI)
MCP-Server-Repositories mit KI-generiertem Code angreifbarer
Wir haben über 19.000 Open-Source MCP-Server-Repositorys analysiert und herausgefunden, dass sich hier KI-generierter Code versechsfacht hat und überproportional viele ausnutzbare Schwachstellen vorhanden sind.
Wichtige Erkenntnisse
- Die Anzahl der Fälle der Codegenerierung durch KI-Bots auf GitHub hat sich zwischen Januar und Oktober 2025 fast versechsfacht. Dabei wiesen basierend auf Metadaten von Contributors 8,3 % der Model Context Protocol (MCP)-Server-Repositorys KI-Bot-Aktivitäten auf. Außerdem deutet die Analyse des Quellcodes darauf hin, dass in insgesamt mindestens 20 % der Repositorys KI beteiligt war.
- 4,1 % der durch KI identifizierten Schwachstellen in MCP-Server-Repositorys sind tatsächlich ausnutzbar, der Großteil über SQL-Injection, Remote-Code-Ausführung und Path-Traversal.
- Repositories, die Anzeichen für KI-generierten Code aufweisen, sind bei denen mit bestätigt ausnutzbaren Schwachstellen überproportional vertreten: 42,6 % der manuell als anfällig eingestuften Repositories zeigen Anzeichen für KI-Code-Generierung.
- Basierend auf der Analyse von mehr als 19.000 Repositories schätzen wir, dass zwischen 600 und 1.650 ausnutzbare Schwachstellen enthalten (3,1 % – 8,6 %).
- Komplexe Anwendungen erfordern fachliches Expertenwissen und sollten nicht vollständig an ein LLM delegiert werden – eine mehrstufige Überprüfung hilft zwar, „Halluzinationen“ zu reduzieren, ist jedoch keine perfekte Lösung.
Innerhalb von nur wenigen Monaten hat sich Zahl der Open Source MCP-Server-Repositorys auf über 19.000 deutlich erhöht. Das zeigt eine frühere Veröffentlichung von TrendAI™ Research. Deshalb wollten wir prüfen, ob die Anzahl der MCP-Server die ihrer Nutzer übersteigt. Weitere Fragen waren, wie viele dieser Server mit KI-Unterstützung entwickelt wurden oder von einer KI generiert waren? Wie viele davon sind anfällig, und in welcher Weise?
Um diese Fragen zu beantworten und um die Verbreitung von KI-generiertem Code abzuschätzen, analysierten wir die Repository-Metadaten und Eigenschaften des Quellcodes in 19.000 Open Source MCP-Repositorys. Für die Schwachstellenanalyse entwickelten wir einen auf Gemini basierten KI-Agenten mit Tools für den Zugriff auf den Quellcode.
Im ersten Durchlauf markierte der Agent 17.558 Schwachstellen. Ein zweiter Agent, der dasselbe Modell verwendete, wurde anschließend damit beauftragt, offensichtliche „Halluzinationen“ zu entfernen, sodass etwas mehr als 15.000 übrigblieben. In der dritten Runde wählten wir zufällig 2.287 Schwachstellen aus und ließen sie durch einen auf Claude Haiku 4.5 basierten Agenten laufen, der 438 davon als Schwachstellen identifizierte. Die manuelle Überprüfung dieser 438 Fälle bot uns eine einzigartige Gelegenheit, die Zuverlässigkeit großer Sprachmodelle (LLMs) als Werkzeuge für die Sicherheitsforschung zu bewerten.
Erkennung von KI-Code
Da alle untersuchten MCP-Server aus GitHub-Repositorys stammten, prüften wir deren Repository-Metadaten, die Verweise auf GitHub Copilot und andere KI-Bots als Mitwirkende enthielten. Dies bedeutet zwar nicht zwangsläufig, dass der gesamte Code von KI generiert wurde, deutet jedoch stark darauf hin, dass zumindest einige Teile davon von KI stammen, was die Repository-Metadaten zu einem wichtigen Indikator für die Beteiligung von KI macht.
Dabei stellten wir einen stetigen Anstieg der Aktivitäten von KI-Bots auf GitHub fest.
Dieser Trend spiegelte sich auch in der Bot-Aktivitäten innerhalb der von uns analysierten MCP-Server-Repositorys wider, wobei 8,3 % der analysierten Repositorys KI-Bot-Aktivität aufwiesen.
Diese Daten deuten auf eine zunehmende Präsenz von KI-generiertem Code in öffentlichen Repositories hin. Die Kombination aus Repository-Metadaten, Code-Merkmalen und Metriken zur Bot-Aktivität lässt darauf schließen, dass KI-Tools die Art und Weise, wie Open Source Code entwickelt und gepflegt wird, zunehmend prägen.
Dieser Trend hat praktische Auswirkungen auf MCP-Server: KI kann zwar die Entwicklungsgeschwindigkeit und -konsistenz verbessern, bringt aber auch Herausforderungen in Bezug auf Sicherheit und Zuverlässigkeit mit sich. Doch das Bild erfasst nur Fälle, in denen Entwickler die Verwendung von KI-Tools angegeben haben. So kann ein Entwickler beispielsweise während der Entwicklung KI-gestützt programmieren, den Code aber über sein eigenes Konto committen.
Deshalb entwickelten wir einen deterministischen Quellcode-Analysator, der Merkmale von KI-Code identifiziert, basierend auf unseren Beobachtungen von KI-generierten Codemustern, unserer Erfahrung im Umgang mit LLMs und Diskussionen zum Thema KI. Zu diesen Merkmalen gehören: Emojis und grafische Symbole im Quellcode, Zeichen zum Zeichnen von Kästchen, übermäßige Kommentierung in der Analyse sowie defensive Programmiermuster (übermäßige Ausnahmebehandlung, Null-/None-Prüfungen).
Das Ergebnis lässt einen konsistenten Trend erkennen. Zwar ist kein einzelner Indikator oder Merkmal für sich genommen ausschlaggebend, doch das Zusammenwirken dieser Indikatoren über verschiedene Repositorys hinweg führte uns zu einer konservativen Schätzung, dass in mindestens 20 % der MCP-Server-Repositorys KI-gestützte Codegenerierung zum Einsatz gekommen ist. Einzelheiten zu den Ergebnissen finden Sie im Originalbeitrag.
Die Jagd nach Schwachstellen
Für diese Untersuchung führten wir eine dreistufige, von Gemini unterstützte statische Analyse des MCP-Server-Quellcodes durch, um Schwachstellen zu identifizieren. Alle Einzelheiten zum Ablauf der Untersuchung finden Sie im Originalbeitrag.
Schließlich wurden 93 Fälle (21,2 %) als tatsächlich ausnutzbare Schwachstellen bestätigt. SQL-Injection war mit einem Anteil von 26 % an den Schwachstellen die häufigste Art und resultierte aus fehlgeschlagenen SQL-Schutzmechanismen in MCP-Servern. Die Remote-Code-Ausführung (RCE) war mit einem Anteil von 22,5 % der Schwachstellen die zweithäufigste Art. Diese Schwachstellen werden oft durch Befehlszeilen-Injections in einem Wrapper um ein bekanntes Befehlszeilen-Dienstprogramm ausgelöst. Schwachstellen durch Path Traversal belegten mit 19 % den dritten Platz. Diese Schwachstellen ermöglichen beliebigen Lese- oder Schreibzugriff auf Dateien außerhalb des vorgesehenen Verzeichnisses, wodurch Daten offengelegt oder unbefugte Änderungen am Server ermöglicht werden können.
Das Vorhandensein von Schwachstellen zur Umgehung der Authentifizierung (7,5 %) deutete darauf hin, dass die Authentifizierungsfunktionen in einem MCP-Server zwar vorhanden waren, jedoch nicht unbedingt korrekt implementiert waren. Abbildung 8 zeigt die vollständige Aufschlüsselung der bestätigten Schwachstellentypen.
Die Daten bestätigen unsere früheren Erkenntnisse und die Notwendigkeit zusätzlicher Isolationsmechanismen. So trägt beispielsweise die Isolierung des Dateisystems in Containern dazu bei, die Ausnutzung von Path-Traversal-Schwachstellen einzudämmen, während Netzwerk-Firewall-Regeln und Intrusion-Prevention-Systeme (IPS) die Ausnutzung von Server-Side Request Forgery (SSRF) verhindern. Authentifizierungsumgehungen und SQL-Injection benötigen einen externen Authentifizierungsmechanismus und eine fein abgestufte rollenbasierte Zugriffskontrolle (RBAC), anstatt sich auf die integrierten Schutzmaßnahmen des MCP-Servers zu verlassen.
Eine zentrale Frage bleibt offen: Wie viele dieser anfälligen Repositorys weisen Anzeichen für den Einsatz von KI auf? Die Metadatenanalyse identifizierte KI-Bot-Aktivitäten in 3 % der ausnutzbaren Repositorys. Unsere Analyse der Quellcode-Merkmale zeichnet jedoch ein auffallend anderes Bild: 42,6 % der Repositorys, die manuell als ausnutzbare Schwachstellen klassifiziert wurden, weisen Anzeichen für eine KI-gestützte Codegenerierung auf.
Fazit
Ausgehend von unseren Forschungsdaten schätzen wir, dass die Anzahl der ausnutzbaren Schwachstellen in den 19.000 Repositories zwischen 600 und 1.650 liegt, mit einem Punktschätzwert nahe 770 (≈4 % der Repositories).
Diese Ergebnisse bestätigen, dass nicht alle von der KI identifizierten Schwachstellen echte Schwachstellen sind. Eine mehrstufige Verifizierung reduziert Halluzinationen oder ungenaue Berichte. Sie ist jedoch keine perfekte Lösung. Die Verfeinerung von Prompts und die Definition dessen, was eine Schwachstelle ausmacht, helfen zwar, doch LLMs folgen selbst bei niedrigeren Temperatureinstellungen nicht immer selbst gut formulierten Prompts. Diese Erkenntnisse unterstreichen die Bedeutung von Fachwissen und mahnen zur Vorsicht vor Abkürzungen wie der vollständigen Delegation an die KI.
Für KI-gestützte Forschung, insbesondere in explorativen Phasen, in denen der Umfang noch nicht vollständig definiert ist, ist es besser, mit einem kleinen zufälligen Datensatz zu beginnen, die Ergebnisse zu überprüfen und die Methodik zu verfeinern, bevor man den Umfang erweitert. LLMs liefern keine konsistenten Ergebnisse; validieren Sie die analysierten Ergebnisse sorgfältig – insbesondere numerische Felder in der JSON-Ausgabe, die niemals für bare Münze genommen werden sollten.
Wie unsere laufenden Untersuchungen gezeigt haben, vergrößert der Einsatz von MCPs die Angriffsfläche im Zeitalter der KI. Diese Erkenntnisse untermauern diese Tatsache zusätzlich und liefern eine Momentaufnahme einer sich noch weiterentwickelnden Bedrohungslandschaft, die eine kontinuierliche Beobachtung und Forschung erfordert.