MCP: Ökosystem wächst schnell – Sicherheitslücken und Benchmark-Defizite treten offen zutage

Aktueller Stand

Das Model Context Protocol (MCP), ursprünglich von Anthropic spezifiziert, hat sich innerhalb weniger Monate zum faktischen Standardprotokoll für die Tool-Anbindung von LLM-Agenten entwickelt. Es ist kostenlos nutzbar; der wirtschaftliche Hebel liegt auf der Anwendungsebene, nicht im Protokoll selbst. MCP-Server-Integrationen finden sich mittlerweile in Produkten wie Vellium, Ghost (Postgres), Otter (35 Mio. Nutzer) und GitNexus – die Bandbreite reicht von Consumer-Tools bis zu Unternehmensinfrastruktur.

Gegenüber klassischen REST-APIs unterscheidet MCP sich durch strukturierte Tool-Discovery mit Schemas und expliziten Permissions, was Agenten eine semantisch reichere Schnittstelle bietet. Der Wettbewerb mit CLI-basierten Ansätzen ist jedoch real: Eine aktive Debatte dreht sich darum, ob LLMs nicht schlicht besser auf Shell-Syntax trainiert sind und ob der MCP-Overhead den Mehrwert rechtfertigt. Die Protokoll-Reife wächst – aber mit ihr auch die Angriffsfläche.

Wichtigste Updates

Der prägnanteste Befund der vergangenen 30 Tage ist sicherheitstechnischer Natur: Der MCPHunt-Benchmark hat gezeigt, dass Cross-Boundary Credential-Propagation in Multi-Server-MCP-Setups ein strukturelles Problem darstellt – Credentials werden bei legitimer Tool-Komposition ungewollt weitergeleitet, ohne dass ein Angriff notwendig wäre. Prompt-Mitigationen reduzieren das Risiko laut den Forschern um bis zu 97 Prozent, reichen aber allein nicht aus. Parallel dazu hat AgentBound ein Access-Control-Framework für MCP-Server vorgestellt, das Entwicklern eine sofort einsetzbare Grundlage zur Absicherung bietet – der Befund dabei: Tausende MCP-Server laufen derzeit ohne Zugriffsbeschränkungen. Der Framework-Overhead ist laut Studie vernachlässigbar.

Auf der Leistungsseite sticht die MCP Workflow Engine heraus, die Reasoning von Ausführung entkoppelt. Das Resultat: Token-Kostensenkungen von über 99 Prozent bei wiederholten Tasks durch deterministische, idempotente Execution ohne Agent-Beteiligung zur Laufzeit – ein erheblicher Effizienzgewinn für Infrastruktur-Automation. Dieser Ansatz signalisiert eine Reifung des Protokolls hin zu produktionsrelevanten Einsatzszenarien jenseits einfacher Tool-Calls.

Die Evaluationslandschaft erhält mit MCP-Atlas erstmals einen grossflächigen Benchmark mit 36 echten MCP-Servern. Die Claims-basierte Bewertung und 500 öffentliche Datenpunkte adressieren das bisher grösste Messlücke: Multi-Step-Workflows mit Tool-Discovery ohne explizite Tool-Nennung.

Auf Ökosystemebene zeigt ein Jahresrückblick auf ein MCP-Server-Projekt, wie stark lokales Tool-Calling gereift ist: Was früher unzuverlässig war, läuft heute mit Modellen wie Qwen 3.6 nativ auf Consumer-Hardware. Das Projekt ist zum aktivsten Open-Source-Repo seines Entwicklers gewachsen. Gleichzeitig hält die architektonische Debatte CLI vs. MCP an – llama.cpp WebUI etwa fehlen MCP-Tool-Controls, was für produktiven Agent-Einsatz als unfertig gilt.

Was zu erwarten

Die laufende Sicherheitsforschung – MCPHunt, AgentBound, LASM – deutet darauf hin, dass Credential-Isolation und Access-Control in naher Zukunft als Mindestanforderung für produktive MCP-Deployments kommuniziert werden dürften. Konkrete Protokollerweiterungen oder offizielle Anthropic-Antworten auf die Sicherheitsbefunde sind in den vorliegenden Posts nicht signalisiert; ob Anthropic auf Protokollebene reagiert, bleibt offen.

Die MCP Workflow Engine und Memory-MCP-Projekte deuten auf eine Verschiebung hin zu persistenten, kostenoptimierten Agenten-Architekturen. MCP-Atlas als frischer Benchmark legt nahe, dass Tool-Discovery-Fähigkeiten in kommenden LLM-Evaluationen stärker gewichtet werden. Eine Konsolidierung bei MCP-Gateways – als Schicht zwischen Client und Server – zeichnet sich ab, ohne dass konkrete Produkt-Releases terminiert wären.