Warum der archivierte Postgres MCP-Server von Anthropic monatlich 312.000 Mal genutzt wird

Ein unscheinbares NPM-Paket namens @modelcontextprotocol/server-postgres wurde im letzten Monat über 312.000 Mal heruntergeladen. Im Vormonat waren es 301.000 Installationen, im November 2025 sogar noch 100.000. Innerhalb von nur fünf Monaten hat sich die Nutzung verdreifacht – und der Trend hält an.

Doch hier kommt der Haken: Das Paket gilt offiziell als archiviert. Der Code wurde in ein Repository namens servers-archived verschoben, und Anthropic warnt ausdrücklich davor, das Paket in Produktivumgebungen einzusetzen. Dennoch funktioniert die Installation weiterhin reibungslos, und die Entwickler-Community greift unvermindert darauf zurück.

Die Frage ist also: Wer nutzt diesen Server, und vor allem – warum?

Was der Postgres-MCP-Server eigentlich leistet

Das Paket @modelcontextprotocol/server-postgres ist ein schlanker Model Context Protocol (MCP)-Server, der KI-Modellen wie Claude, Cursor oder Windsurf den Zugriff auf eine Postgres-Datenbank ermöglicht. Entwickler müssen lediglich eine Verbindungszeichenkette angeben. Der Server stellt daraufhin eine einzige Funktion namens query bereit, mit der Leseabfragen auf die Datenbank ausgeführt werden können. Zusätzlich wird für jede Tabelle ein Ressourcen-Endpunkt bereitgestellt, der die Tabellenstruktur beschreibt – sodass das Modell die vorhandenen Spalten und Datentypen kennt.

Dieser Server war ursprünglich von Anthropic selbst veröffentlicht worden und gilt als offizielle Lösung. Bei einer Suche nach „postgres mcp server“ erscheint er als erster Treffer, und auch große Sprachmodelle wie ChatGPT empfehlen ihn als Standardlösung. Durch eine einfache Konfiguration in der Datei claude_desktop_config.json können Entwickler beispielsweise Fragen wie „Welche unserer Top 10 Kunden haben im letzten Monat den höchsten Umsatz erzielt?“ stellen und erhalten direkt eine Antwort basierend auf den tatsächlichen Datenbankinhalten.

Die Anwendungsidee ist naheliegend: In den letzten Jahren wurden KI-Agenten zunehmend mit externen Systemen wie Slack, GitHub, Linear oder Datadog verknüpft. Die Datenbank ist dabei oft der letzte große Baustein, der noch fehlt – und dieses Paket bietet eine schnelle und einfache Lösung.

Warum wurde der Server archiviert?

Anfang 2025 teilte Anthropic die ursprüngliche Server-Repository in zwei Teile auf. Das aktive Repository namens servers enthält nun sieben Server, die entweder als Demonstrationsbeispiele oder als lokale Hilfsprogramme dienen. Dazu gehören unter anderem der filesystem-Server, der git-Server oder der memory-Server.

Die anderen 14 Server – darunter auch der Postgres-, GitHub-, Slack- und Redis-Server – wurden in das Repository servers-archived verschoben. Oben auf der Seite prangt ein eindeutiger Warnhinweis:

KEINE SICHERHEITSZUSAGEN FÜR DIESE ARCHIVIERTEN SERVER. Diese Server werden nicht mehr gewartet. Es gibt keine Sicherheitsupdates oder Fehlerbehebungen. Die Nutzung erfolgt auf eigenes Risiko.

Eine konkrete Begründung für die Archivierung des Postgres-Servers wird nicht genannt. Betrachtet man jedoch die Aufteilung der Server, wird ein klares Muster sichtbar: Sämtliche Server, die in der aktiven Repository verblieben sind, haben kaum Angriffsfläche, da sie entweder nur lokale Daten verarbeiten oder reine Demonstrationszwecke erfüllen. Sämtliche Server, die in die archivierte Repository verschoben wurden, greifen dagegen auf externe Systeme mit Anmeldedaten zu.

Die Schlussfolgerung liegt nahe: Anthropic möchte keine Verantwortung für Server übernehmen, die potenzielle Sicherheitsrisiken bergen. Problematisch ist dabei allerdings die offizielle Empfehlung, für Produktivumgebungen auf die aktive Repository zurückzugreifen. Dort gibt es jedoch keinen direkten Ersatz für den archivierten Postgres-Server. Die einzige Alternative besteht darin, nach einer Community-Lösung zu suchen – was viele Entwickler offensichtlich nicht tun.

Warum wird der Server trotz Warnung weiterhin genutzt?

Drei Gründe erklären die anhaltend hohe Nutzung – und alle sind nachvollziehbar:

• Die Integration eines KI-Agenten mit der Datenbank ist essenziell. Viele Entwicklungsteams stehen vor dem gleichen Problem: Ein Modell befindet sich in einem Chatfenster, und für die Fehlersuche oder Datenanalyse muss ständig zwischen der Chat-Oberfläche und einem Datenbank-Client gewechselt werden. Nach dem dritten Mal wird klar, dass eine Automatisierung sinnvoll ist – und der einfachste Weg führt oft zum offiziellen NPM-Paket.

• Die Warnung ist an der falschen Stelle platziert. Der Befehl npx @modelcontextprotocol/server-postgres funktioniert problemlos. Auf der NPM-Seite wird nicht darauf hingewiesen, dass der Server archiviert ist. Stattdessen wird er als „PostgreSQL“-Server beworben. Der Warnhinweis findet sich erst im GitHub-Repository – und dieses trägt den Namen modelcontextprotocol/servers-archived, was sich deutlich von der ursprünglichen URL unterscheidet. Entwickler, die über Tutorials auf YouTube oder durch Empfehlungen von Sprachmodellen auf das Paket aufmerksam werden, könnten den Warnhinweis daher schlicht übersehen.

• Es funktioniert – zumindest für den Anfang. Für Demos, Prototypen oder erste Experimente erfüllt der Server seinen Zweck. Lesende Abfragen auf einer kleinen Entwicklungsumgebung sind unproblematisch. Das Problem entsteht erst, wenn aus einem Test ein produktiver Einsatz wird – etwa, wenn der Server plötzlich auf eine echte Produktivdatenbank zugreift. Genau dieser Übergang findet bei vielen Teams stillschweigend statt, ohne dass sie sich der Risiken bewusst sind.

Ein Blick in den Quellcode

Der gesamte Postgres-Server besteht aus gerade einmal 130 Zeilen TypeScript-Code. Die zentrale Abfragefunktion sieht wie folgt aus:

await client.query("BEGIN TRANSACTION READ ONLY");
const result = await client.query(sql);
// ...
client.query("ROLLBACK").catch(...);

Das ist die gesamte Sicherheitslogik: Eine Transaktion mit Lesezugriff (READ ONLY) verhindert zwar das Ausführen von Schreiboperationen wie DROP TABLE, bietet aber keinerlei Schutz vor anderen Problemen. So gibt es beispielsweise keine Begrenzung der Abfragezeit, sodass ein Befehl wie SELECT pg_sleep(3600) eine Verbindung für eine Stunde blockieren kann. Auch eine Begrenzung der zurückgegebenen Zeilen fehlt, sodass ein SELECT * FROM events die gesamte Tabelle als JSON-Blob zurückgibt – und versucht, diese in das Kontextfenster des Modells zu passen. Zudem existiert keine Whitelist oder Blacklist für Tabellen oder Spalten. Wenn die Tabelle users eine Spalte wie api_key oder stripe_secret enthält, kann das Modell diese auslesen und an den jeweiligen Anbieter des Sprachmodells weitergeben.

Die Schema-Introspektion beschränkt sich auf zwei Spalten: column_name und data_type. Wichtige Metadaten wie Primärschlüssel, Fremdschlüssel, Indizes, Enumerationen oder Spaltenkommentare werden nicht berücksichtigt. Die Abfrage zur Ermittlung der Spalten berücksichtigt zudem nicht den Parameter table_schema, sodass bei gleichnamigen Tabellen in verschiedenen Schemata die Spalten beider Tabellen zusammengefasst werden. Die Abfrage zur Tabellenentdeckung enthält sogar einen offensichtlichen Syntaxfehler (WHE).

Fazit: Ein Überbleibsel mit Zukunftspotenzial?

Der archivierte Postgres-MCP-Server von Anthropic bleibt trotz aller Warnungen ein fester Bestandteil im Ökosystem der KI-Integration. Die Gründe dafür sind vielfältig: von der einfachen Handhabung über mangelnde Alternativen bis hin zu der Tatsache, dass er für viele Use Cases zunächst ausreichend ist. Dennoch zeigt die Situation auch die Herausforderungen auf, die entstehen, wenn offizielle Lösungen nicht mehr aktiv weiterentwickelt werden – insbesondere in einem Bereich wie der KI-Integration, der sich rasant entwickelt.

Für Entwicklerteams, die den Server aktuell einsetzen, könnte es ratsam sein, nach alternativen Lösungen Ausschau zu halten oder zumindest die Sicherheitskonfiguration zu überprüfen. Gleichzeitig unterstreicht die anhaltende Nutzung die Notwendigkeit robusterer offizieller Alternativen, die sowohl die Funktionalität als auch die Sicherheit gewährleisten können. Die Frage bleibt offen: Wie lange wird die Community noch auf ein Paket setzen, das offiziell als ungesichert gilt?