ATR schließt NSA-Lücke bei MCP-Sicherheit mit 433 Erkennungsregeln

Seit dem 20. Mai 2026 analysiert die NSA in einem 17-seitigen Dokument die Sicherheitsrisiken des Model Context Protocol (MCP). Die Cybersecurity Information Sheet identifiziert fünf strukturelle Schwachstellenkategorien – doch konkrete Gegenmaßnahmen fehlen bisher. Nun übernimmt ATR diese Aufgabe: Das Framework liefert 433 regelbasierte Erkennungssignaturen, die genau die vom Artificial Intelligence Security Center der NSA beschriebenen Risiken adressieren.

Die fünf NSA-Risiken und wie ATR sie abdeckt

Das Dokument der NSA unterteilt MCP-Sicherheitslücken in fünf Hauptkategorien. ATR setzt genau dort an, wo klassische Sicherheitslösungen versagen.

1. Serialisierungsrisiken: Verschlüsselte Payloads erkennen

MCP-Server verarbeiten strukturierte Eingaben aus unsicheren Quellen. Angreifer nutzen dabei häufig obfuskierte Daten wie Base64- oder Hex-Strings, um Schadcode einzuschleusen. ATR erkennt diese Muster durch eine Reihe von Encoding-Bypass-Regeln. Diese Signaturen identifizieren Unicode-, Base64- und andere Verschleierungsmethoden, die zur Umgehung von Serialisierungsschichten dienen. Besonders kritisch: Die Regeln wurden anhand von 96.096 analysierten MCP-Skills entwickelt, darunter 751 nachgewiesene Malware-Fälle.

2. Vertrauensgrenzen: Unbefugte Rechteausweitungen blockieren

MCP-Kontexte tauschen Daten zwischen Benutzer-, Tool- und externen Systemen aus. ATR überwacht, ob Tools oder Skills unzulässige Berechtigungen anfordern. Die Erkennungsregeln prüfen dabei:

• - Versuche, Systemrollen zu usurpieren
• - Anträge auf erhöhte Berechtigungen ohne explizite Nutzerzustimmung
• - Zugriffe auf nicht autorisierte Scopes

Diese Mechanismen verhindern, dass MCP-Agenten unkontrolliert auf sensible Ressourcen zugreifen.

3. Agentenmissbrauch: Jailbreaks und versteckte Anweisungen verhindern

Ein zentrales Problem von MCP ist die Fähigkeit von Agenten, Nutzeranweisungen zu überschreiben. ATR enthält spezielle Jailbreak-Erkennungsregeln, die 38 % aller bestätigten Angriffe in der Wildnis abdecken. Diese Regeln erkennen:

• - Dynamische Überschreibung von Systemanweisungen
• - Unterdrückung vorheriger Kontextinformationen
• - Einführung widersprüchlicher Befehle während laufender Sitzungen

Die Häufigkeit dieser Angriffe zeigt, wie kritisch solche Schutzmechanismen sind.

4. Dynamische Tool-Integration: Unsichtbare Befehle aufdecken

MCP ermöglicht Tools, zur Laufzeit weitere Tools aufzurufen – ohne dass Nutzer davon erfahren. ATR deckt diese Risiken durch Code-Injektions- und Reverse-Shell-Regeln ab. Zwei besonders relevante Regeln (ATR-2026-00440 und ATR-2026-00441) wurden innerhalb weniger Stunden nach Bekanntwerden der CVEs 2026-26030 und 2026-25592 für Microsoft Semantic Kernel veröffentlicht.

5. Kontextlecks: Sensible Datenflüsse unterbinden

MCP teilt Kontexte zwischen Tools und Sitzungen – oft mit unbeabsichtigten Datenlecks. ATR erkennt, wenn Skills:

• - Gesprächshistorien auslesen
• - Umgebungsvariablen extrahieren
• - Abgerufene Daten an externe Endpunkte übertragen

Diese Erkennungsmechanismen schließen eine wichtige Sicherheitslücke in verteilten MCP-Umgebungen.

Wie CISAs Empfehlung 10 durch ATR umgesetzt wird

Am 30. April 2026 veröffentlichten CISA und die Five Eyes-Partner eine gemeinsame Richtlinie. Recommendation 10 fordert explizit die Überwachung von Trigger-Action-Protokollen: Systeme müssen erkennen, wenn ein Agent eine Aktion ausführt, die nicht direkt von einer verifizierten Nutzeranweisung stammt. Doch die Richtlinie liefert keine konkrete Implementierung – hier setzt ATR an.

Die 433 Regeln von ATR operationalisieren die geforderten Signaturen in einem Format, das mit Standard-Sicherheitswerkzeugen wie Regex-Scannern kompatibel ist. Dadurch wird die Empfehlung nicht nur theoretisch, sondern auch praktisch umsetzbar. Die Regeln decken dabei:

• - Unerwartete Tool-Aufrufe
• - Automatisierte Aktionen ohne Nutzerinteraktion
• - Abweichungen vom deklarierten MCP-Kontext

Diese Automatisierung ist entscheidend, da sie die Lücke zwischen Richtlinie und Umsetzung schließt.

Wo ATR bereits im Einsatz ist

ATR wird zunehmend in bestehende Sicherheitsinfrastrukturen integriert. Zu den wichtigsten Einsatzgebieten gehören:

• - Microsoft AGT (GitHub Actions-Umgebung, integriert nach den CVE-Enthüllungen)
• - Cisco AI Defense (MCP-Skill-Scans, seit März 2026 verfügbar)
• - MISP (in die Threat-Taxonomie integriert, an EU-CERTs verteilt)
• - OWASP Agent Security Reference Hub (seit April 2026 als Beitragsstatus integriert)
• - Gen Digital Sage (Norton/Avast-Mutterkonzern, aktive Implementierung)

Die Grundlage für diese Integrationen bildet die umfangreiche Datenbank mit 96.096 analysierten MCP-Skills – darunter 751 nachgewiesene Schadfälle. Diese Datengrundlage ermöglicht es ATR, nicht nur auf theoretische Risiken zu reagieren, sondern auch auf reale Bedrohungsszenarien.

Die Zukunft: Standardisierung und Automatisierung

ATR v3.0.0-alpha ist bereits in Entwicklung und soll in einen internationalen Standard überführt werden. Am 26. Mai 2026 reichte das Projekt einen formellen Vorschlag bei OASIS Open Project ein. Ziel ist eine neutrale Governance-Struktur, die die Weiterentwicklung des Frameworks langfristig sichert.

Ein weiterer Meilenstein ist die Automatisierung des CVE-Pipelines: Neue Erkennungsregeln werden nun innerhalb von Stunden nach Bekanntwerden einer Schwachstelle veröffentlicht – statt wie bisher innerhalb von Wochen. Diese Geschwindigkeit ist entscheidend, um in der sich schnell entwickelnden MCP-Landschaft Schritt zu halten.

Die NSA endet ihr Dokument mit einem Aufruf zur Community-Koordination. ATR hat diese Lücke geschlossen: Das Framework ist unter der MIT-Lizenz verfügbar und lädt zur Mitwirkung ein. Ob durch neue Regeln, Integrationen oder Verbesserungsvorschläge – die Entwickler können unter github.com/Agent-Threat-Rule/agent-threat-rules aktiv werden.

Die Sicherheitslandschaft von MCP steht vor einem Wendepunkt. Mit ATR erhalten Administratoren und Entwickler endlich die Werkzeuge, die sie benötigen, um die vom NSA identifizierten Risiken zu adressieren – bevor sie ausgenutzt werden können.