KI-Sicherheitsforscher decken eine Kette kritischer Schwachstellen in Anthropics offiziellem Git-Integrationsserver auf. Die Lücken ermöglichten Angreifern Fernzugriff auf Systeme – ausgelöst durch manipulierte Texteingaben an KI-Modelle.
Die Sicherheitslücken wurden im mcp-server-git entdeckt, der Referenzimplementierung des KI-Unternehmens Anthropic. Dieses Werkzeug zeigt Entwicklern, wie sie große Sprachmodelle sicher mit Git-Repositories verbinden können. Laut dem Sicherheitsunternehmen Cyata Security konnten die drei kombinierten Schwachstellen zu Remote Code Execution (RCE) führen. Das Besorgniserregende: Der Angriff ließ sich via Prompt Injection auslösen – also durch manipulierte Texteingaben an ein KI-Modell, ohne direkten Systemzugriff.
So funktionierte die Angriffskette
Die Sicherheitslücke basierte auf drei kombinierbaren Fehlern. Zunächst erlaubte eine ungeschützte git_init-Funktion das Anlegen von Repositories an beliebigen Stellen im Dateisystem. Zweitens umging ein Pfadvalidierungsfehler die Zugriffsbeschränkungen auf Code-Repositories. Der dritte und kritischste Fehler war eine Argument Injection in den Git-Funktionen git_diff und git_checkout.
KI-gestützte Integrationen schaffen neue Angriffsflächen – wie aktuelle Prompt‑Injection-Fälle zeigen, reichen manipulierte Eingaben mitunter für kritische Systemzugriffe. Für Entwickler, IT‑Leads und Sicherheitsverantwortliche ist jetzt schnelles Handeln gefragt: Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Bedrohungen rund um KI‑Agenten, praxisnahe Härte‑Maßnahmen für Repositories und Dateisysteme sowie kostengünstige Schutzstrategien für Ihr Unternehmen. Mit Checklisten und sofort umsetzbaren Schritten. Jetzt kostenlosen Cybersecurity-Guide herunterladen
„Diese drei Schwachstellen zusammen ermöglichten es, beliebige Dateien auf dem Host-System zu lesen, zu überschreiben oder zu lösen“, erklärt Cyata Security. Die Gefahr eskalierte zur Fernausführung von Code, wenn der Git-Server mit einem Dateisystem-Server kombiniert wurde. Angreifer konnten dann über Git-Konfigurationsdateien beliebige Shell-Befehle ausführen.
Das Entscheidende: Der gesamte Angriff ließ sich durch eine manipulierte Prompt an ein KI-Modell auslösen. Da die MCP-Server auf Entscheidungen des Sprachmodells reagieren, benötigten Angreifer weder Credentials noch direkten Zugriff auf das Zielsystem.
Referenzimplementierung mit Systemfehlern
Besonders alarmierend ist der Fundort der Schwachstellen. Der mcp-server-git dient als kanonische Referenzimplementierung – also als Musterbeispiel, an dem sich die gesamte KI-Entwicklergemeinschaft orientieren soll. „Dass ausgerechnet in dieser Grundlagen-Software derart gravierende Fehler steckten, wirft Fragen auf“, kommentiert eine Sicherheitsexpertin.
Die Entdeckung unterstreicht die Notwendigkeit, das gesamte MCP-Framework (Model Context Protocol) kritisch zu überprüfen. Werkzeuge, die isoliert betrachtet sicher erscheinen, werden zum Risiko, sobald sie von Sprachmodellen gesteuert werden, deren Eingaben von externen Quellen manipuliert werden können.
Alle Standard-Installationen des mcp-server-git vor dem 18. Dezember 2025 gelten als betroffen. Cyata Security hatte die Schwachstellen bereits im Juni 2025 an Anthropic gemeldet. Das Unternehmen veröffentlichte Patches am 17. Dezember 2025.
KI-Entwicklung: Neue Angriffsflächen entstehen
Die Sicherheitslücke ist Teil eines größeren Trends: Immer mehr KI-Entwicklungswerkzeuge werden zum Ziel von Angriffen. Wenn Sprachmodelle mit Dateisystemen, Code-Repositories und externen Werkzeugen interagieren, entstehen komplexe neue Angriffsvektoren. Sicherheitsforscher demonstrieren regelmäßig, wie Prompt Injection genutzt werden kann, um Sicherheitsvorkehrungen zu umgehen.
Dieser Vorfall sendet ein klares Signal an die Branche: Die Protokolle, die KI-Modelle mit anderen Systemen verbinden, müssen mit Security-by-Design entwickelt werden. Es reicht nicht mehr aus, nur das KI-Modell selbst abzusichern. Das gesamte Ökosystem aus Plugins, Servern und Werkzeugen muss gegen Manipulationen gehärtet werden.
„Die Tatsache, dass der Angriff durch etwas so Harmloses wie eine README-Datei ausgelöst werden konnte, zeigt die subtile und allgegenwärtige Natur dieser neuen Bedrohungen“, warnt Cyata Security.
Updates und künftige Herausforderungen
Als Reaktion auf die gemeldeten Schwachstellen entfernte Anthropic die git_init-Funktion vollständig aus dem Server-Angebot – und neutralisierte damit einen zentralen Teil der Angriffskette. Unternehmen, die den mcp-server-git einsetzen, sollten umgehend auf die neueste Version aktualisieren.
Die KI- und Cybersicherheits-Communities stehen vor der Aufgabe, robustere Standards für sichere KI-Anwendungen zu entwickeln. Dazu gehören bessere Abwehrmaßnahmen gegen Prompt Injection, strengere Sandboxing-Methoden für KI-Agenten und Sicherheitsprüfungen von Grund auf bei Protokollen wie MCP.
Dieser Vorfall wird wahrscheinlich eine Welle von Sicherheitsaudits bei ähnlichen KI-Integrationswerkzeugen auslösen. Für Entwickler und Unternehmen, die KI-Agenten nutzen, ist es ein Weckruf: Sie müssen ihre Sicherheitsmaßnahmen überprüfen, Agenten-Berechtigungen auf ein absolutes Minimum beschränken und ungewöhnliche Aktivitäten genau überwachen. Das Zeitalter der KI-gestützten Entwicklung birgt enormes Potenzial – aber, wie dieser Vorfall zeigt, auch neuartige Risiken, die ein neues Maß an Sorgfalt erfordern.
PS: Sie arbeiten mit Sprachmodellen, Git‑Integrationen oder automatisierten Agenten? Dann hilft Ihnen unser Gratis‑E‑Book, typische Schwachstellen (inkl. Prompt Injection) zu erkennen und abzustellen. Der Leitfaden fasst Trends, gesetzliche Anforderungen und Best‑Practices zusammen – inklusive Vorlagen für Sicherheitsprüfungen und Reaktionspläne. Ideal für Teams, die KI‑Tools sicher in Produktionsumgebungen betreiben wollen. Gratis Cybersecurity‑E‑Book herunterladen
