Von klarer Spur zu digitalem Nebel
Bei klassischen REST‑APIs ist Sicherheit greifbar: Jeder Aufruf, jede Authentifizierung und jedes Ein‑/Ausgabe‑Paar landet im Audit‑Log, sodass sich Abläufe deterministisch nachvollziehen lassen. MCP‑basierte Agenten dagegen präsentieren nur das Endergebnis – warum, auf wessen Immediate oder mit welcher Software‑Kette sie dorthin gelangten, bleibt verborgen. Dieser blinde Fleck zwischen Intention und Ausführung macht jedes belastbare Risk‑Mannequin zunichte.
Wirklich sichere Agentic‑Workflows erfordern Telemetrie, Immediate‑Historie, Kontext‑Injections, Software‑Auswahl und Agenten‑Gedächtnis in Echtzeit verknüpft. Ohne diesen Tiefenblick jagen wir lediglich dem Schatten eines autonomen Entscheidungsmotors hinterher. Die Frage ist nicht, ob wir diese Sichtbarkeit schaffen müssen, sondern wie schnell – erst dann wird MCP von einem Risiko zu einem kontrollierbaren Vorteil.
CISOs müssen sich der Bedrohungslage bewusst werden, denn aktuelle Vorfälle zeigen, wie vielfältig die Angriffsflächen von MCP sind: Beim „Poisonous Agent Stream“ genügte ein präpariertes GitHub‑Situation, um über indirekte Immediate‑Injection einen Agenten dazu zu bringen, vertraulichen Code aus privaten Repositories in öffentliche zu kopieren – völlig unbemerkt.
