MCPHunt: erster Benchmark zur Messung von Credential-Leakage über Vertrauensgrenzen in Multi-Server-MCP-Agenten — Raten von 11,5–41,3 %

Forscher haben MCPHunt vorgestellt, den ersten kontrollierten Benchmark zur Isolierung unbeabsichtigter Credential-Leakage über Vertrauensgrenzen in Multi-Server-MCP-Agentensystemen. MCP (Model Context Protocol) ist ein offener Standard, der LLMs den Zugriff auf externe Werkzeuge und Daten über mehrere unabhängige Server ermöglicht. Das Problem entsteht, wenn eine Kombination aus Lese- und Schreibwerkzeugen — jedes mit legitimen Berechtigungen — sensible Daten ungewollt von einem Kontext in einen anderen überträgt.

Was misst MCPHunt?

MCPHunt misst die Credential-Propagierung, die gegen Schwärzungsrichtlinien verstößt, selbst wenn ein Agent auf der jeweiligen Ebene innerhalb seiner zugewiesenen Befugnisse handelt. Der Benchmark umfasst 3.615 Haupt-Evaluierungs-Traces über 5 verschiedene Modelle, 147 Szenarien und 9 Mechanismusfamilien, durch die Daten unbeabsichtigt verschoben werden können.

Die zentrale Metrik ist die Rate der „richtlinienverletzenden Propagierung” — wie oft ein Agent eine Credential über eine Vertrauensgrenze überträgt, obwohl Schwärzungsoptionen oder sicherere Alternativen vorhanden sind. Die Ergebnisse zeigen eine Spanne von 11,5–41,3 % je nach Modell, mit der höchsten Konzentration von Verstößen bei browser-vermittelten Datenflüssen, bei denen ein Agent eine Seite abruft und das Ergebnis an einen anderen Server weiterleitet.

Wie funktionieren die Kontrollen?

Drei methodische Säulen verleihen dem Benchmark Objektivität:

1. Canary-basiertes Taint-Tracking reduziert die Leakage-Erkennung auf exaktes String-Matching — ein Agent, der einen markierten Canary-Token über eine Grenze weitergibt, wird ohne subjektive Beurteilung erfasst.
2. Umgebungskontrollierte Abdeckung kombiniert riskante, gutartige und Hard-Negative-Szenarien, um falsch positive Ergebnisse auszuschließen und die Integrität der Pipeline zu validieren.
3. CRS-Stratifizierung (Credential Routing Stratification) trennt Propagierung, die für die Aufgabenausführung notwendig ist, von jener, die gegen Richtlinien verstößt — ohne diese Trennung ist kein fairer Modellvergleich möglich.

Wie hilfreich sind Prompt-basierte Abwehrmaßnahmen?

Prompt-basierte Maßnahmen erreichen eine Reduktion der Verstöße um bis zu 97 % bei 80,5 % erhaltener Nützlichkeit — ein scheinbar starkes Ergebnis. Die Autoren schränken diese Schlussfolgerung jedoch sofort ein: Die Wirksamkeit korreliert streng mit der Instruktionsfolge-Fähigkeit des Modells, was bedeutet, dass schwächere Modelle auch mit demselben Mitigierungs-Prompt anfällig bleiben.

Hard-Negative-Kontrollen zeigen, dass Leakage kein Produktions-Credential-Format erfordert — ein prompt-gesteuerter grenzüberschreitender Datenfluss reicht aus, um einen Wert zu übertragen. Dies bestätigt, dass die Schwachstelle struktureller, nicht implementierungsspezifischer Natur ist. Die Schlussfolgerung der Arbeit ist eindeutig: Prompt-Ebene-Abwehr allein ist nicht ausreichend; es werden mechanische Kontrollen auf Protokoll- und Runtime-Ebene benötigt, die unerlaubte Datenpfade physisch verhindern.

Warum ist das wichtig?

MCP wurde 2025 und 2026 zum De-facto-Standard für die Verbindung von LLM-Agenten mit Werkzeugen — von Wissensdatenbanken über E-Mail-Clients bis hin zu CI/CD-Systemen. Jeder neue MCP-Server erweitert die Angriffsfläche. MCPHunt quantifiziert erstmals ein System, das bisher keine standardisierte Sicherheitsmetrik hatte, und öffnet den Weg für Werkzeuge, die Analysten schützen, bevor agentische Arbeitsabläufe zur dominanten Integrationsmethode werden.