Angriff

Claude, MCP & Tool-Poisoning

Bei Claude Code ist der unterschätzteste Angriff nicht der Nutzer-Prompt, sondern die Beschreibung eines Tools: Sie landet im selben Context-Window, über das Claude nachdenkt — und kann dort Anweisungen einschleusen.

Lesezeit ~6 Min · Angriff

Das MCP-Problem

MCP-Server geben Claude neue Werkzeuge. Deren Beschreibungen fließen in denselben Kontext wie Ihre eigentliche Aufgabe. Eine bösartige Beschreibung injiziert Instruktionen direkt in Claudes Reasoning — das nennt man Tool-Poisoning.

Prompt Injection über Tool-Beschreibungen ist die am meisten unterschätzte Bedrohung im MCP-Ökosystem — die Beschreibung steht im selben Context-Window, über das das Modell nachdenkt.

Reale Fälle

CVE-2026-23744 — Remote-Code-Execution im MCPJam Inspector.
Eine präparierte PDF löste über einen Claude-MCP-Link eine physische Pumpe aus.
Angreifer trafen GitHubs MCP-Server und exfiltrierten Daten aus privaten Repos über bösartige Issues.
Ein vergiftetes Plugin-Ökosystem versteckte sich sechs Monate — 47 Firmen betroffen.

„One GitHub Issue to break the supply chain": Ein einziges, manipuliertes Issue genügte, um Claude Code zu vergiften.

Jedes Coding-Agent fällt

Ein Review von 78 Studien (Januar 2026) testete Claude Code, GitHub Copilot und Cursor — alle fielen auf Prompt Injection; adaptive Angriffe landeten in über 85 % der Fälle. Das ist kein Bug eines Anbieters, sondern eine Eigenschaft der Architektur.

Claudes Schutz — und seine Grenzen

Claude Code bringt echte Safeguards mit: Permission-System, kontextbewusste Analyse, Input-Sanitization, eine Blocklist gegen riskante Befehle wie curl/wget. Gut — aber Permission-Müdigkeit, neue Bypässe und vor allem die persistente Schicht in ~/.claude (Skills, MCP-Configs, Memory) bleiben angreifbar.

Wie PoisonZero ergänzt

Claudes Guardrails prüfen den einzelnen Prompt im Moment. PoisonZero sichert, was dauerhaft gespeichert wird:

Überwacht ~/.claude, MCP-Server-Configs und Memory lokal.
Bewertet jeden Write; Gefährliches wird fail-closed zurückgerollt — bevor es bei der nächsten Session wirkt.
Erkennt Einträge, die Schutzmechanismen abschalten wollen (Meta-Attacken).

Verwandt: Prompt Injection, Skills als Einfallstor und Poisoned Pipeline Execution.

Sichere Claudes persistente Schicht.

PoisonZero überwacht ~/.claude, MCP-Configs und Memory — und rollt vergiftete Writes fail-closed zurück.

14 Tage testen

Weiterlesen: Prompt Injection erklärt · Skills als Einfallstor · Poisoned Pipeline Execution

Alle Artikel