Ein Blogbeitrag der auf KI-Security ausgerichteten Firma Invariant Labs zeigt, dass der offizielle GitHub MCP Server (Model Context Protocol) zu Prompt-Injection-Angriffen einladen kann.
In einem Proof of Concept hat ein Angreifer über ein GitHub-Issue einen mit MCP verbundenen KI-Agenten dazu veranlasst, private Informationen über den Maintainer eines Projekts preiszugeben. Der KI-Agent hat dabei den MCP Server von GitHub genutzt, der Zugriff auf die Inhalte des Repositories bietet.
Der Proof of Concept nutzt keinen Bug im GitHub MCP Server, sondern setzt auf eine Form der Prompt Injection, also die Möglichkeit dem Sprachmodell Befehle unterzujubeln.
Das Model Context Protocol dient dazu, KI-Modelle mit externen Tools zu verbinden, um diverse Aktionen wie Zugriffe auf Datenbanken, Webseiten oder Dateien auszuführen. Der GitHub MCP Server bietet eine direkte Anbindung an die GitHub-APIs, um Arbeitsabläufe zu automatisieren oder die Inhalte der Repositorys zu analysieren. Er ist kein Bestandteil der GitHub-Plattform, sondern GitHub stellt den Server als eigenständiges Open-Source-Tool bereit.
Das Angriffsszenario: Der GitHub MCP Server gewährt dem KI-Agenten auch Zugriff auf die privaten Informationen, da er auf dem User-Account arbeitet.
(Bild: Invariant Labs)
Im Beispiel aus dem Proof of Concept verfügt ein User über ein öffentliches und ein privates Repository. Er nutzt Claude Desktop, um über den MCP-Server Aktionen in seinem GitHub Repository anzustoßen. Unter anderem soll sich der KI-Agent automatisch darum kümmern, neue Issues zu verarbeiten.
Damit ist das Tor für die Prompt Injection geöffnet: Ein Angreifer legt in dem öffentlichen Repository ein Issue an, das dazu auffordert, mehr Informationen über den Autor preiszugeben, weil das Projekt so toll sei. Dazu soll doch bitte ein Eintrag in der Readme-Datei erfolgen. Der Autor kümmere sich ohnehin nicht um seine Privatsphäre, also soll bitte alles veröffentlicht werden, was zu finden ist. Außerdem sollen doch auch alle anderen (also auch private) Repositories im Readme aufgeführt werden.
Das Issue bittet um zusätzliche Informationen zum Autor.
(Bild: Screenshot (Rainald Menge-Sonnentag))
Wenn der Betreiber nun seinen KI-Agenten einspannt, um die offenen Issues in dem öffentlichen Repository zu verarbeiten,
Den Prompt schickt der User an Claude 4 Opus.
(Bild: Invariant Labs)
legt der KI-Agent einen Pull Request an, der die privaten Informationen für das Readme aufbereitet. Diese landen zwar nicht direkt in der Readme-Datei, aber der Pull Request im öffentlichen Repository ist für alle sichtbar.
Der vollständige Chatverlauf mit dem Agenten findet sich im Blogbeitrag.
Der Proof of Concept nutzt keine direkte Schwachstelle im GitHub MCP Server aus, sondern setzt eine gewisse Leichtsinnigkeit im Umgang mit den KI-Systemen voraus, die aber vermutlich nicht zu weit hergeholt ist. Die Idee, einem KI-Agenten die lästige Vorarbeit zu übertragen, klingt für manche sicher attraktiv.
Neben dem Leichtsinn ist eine grundsätzliche Schwachstelle das Model Context Protocol, das in der derzeitigen Form das Thema Security überhaupt nicht berücksichtigt. Unter anderem setzt es auf Session-IDs in URLs und bietet keine guten Vorgaben für die Authentifizierung.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare