MCP-Tools brauchen Autorisierung auf Aktionsebene
Am 17. Mai 2026 veröffentlichte die NVD CVE-2026-8719 für AI Engine 3.4.9, ein WordPress-Plugin, das AI- und MCP-Funktionen für WordPress-Websites bereitstellt.13
Dieser Fehlermodus sollte jeden Entwickler von MCP beunruhigen. Wordfence beschrieb eine fehlende WordPress-Berechtigungsprüfung im Autorisierungspfad für MCP-OAuth-Bearer Tokens: Jedes gültige OAuth Token konnte auf MCP-Tools mit Administrationsrechten zugreifen, ohne dass Administratorrechte geprüft wurden.2 Wordfence bewertete das Problem mit 8,8 als High und kennzeichnete Version 3.5.0 als gepatchte Version.2 Laut Änderungsprotokoll des Plugins behebt Version 3.5.0 die MCP-OAuth-Autorisierung und Tokenvalidierung, indem Administratorberechtigungen erforderlich sind.3
MCP-Autorisierung scheitert, wenn ein Server den Besitz eines Bearer Tokens als Erlaubnis behandelt, jedes Tool zu verwenden. OAuth kann belegen, dass ein Token über einen Autorisierungsablauf gekommen ist. Der MCP-Server muss trotzdem entscheiden, ob dieses Subjekt dieses Tool, auf dieser Ressource und mit diesem Schadensradius ausführen darf.
Kurzfassung
Die HTTP-Autorisierungsspezifikation von MCP liefert Entwicklern eine notwendige Grundlage: Metadaten geschützter Ressourcen, OAuth-2.1-Abläufe, Umgang mit Bearer Tokens, Tokenvalidierung, Zielgruppenprüfungen und ausdrückliche 403 Forbidden-Antworten bei unzureichenden Scopes oder Berechtigungen.4 Das MCP-Sicherheitstutorial beschreibt Autorisierung als Schutzschicht für sensible Ressourcen und Operationen, die MCP-Server freigeben.5 Diese Mechanik ersetzt aber nicht die Autorisierungsentscheidung auf Anwendungsebene. Ein Server muss das Token weiterhin einem Benutzer, einer Rolle, einem Mandanten, einem Tool, einer Ressource, einer Aktion und einer Richtlinie zuordnen.
CVE-2026-8719 macht diese Unterscheidung zu einem konkreten Fehler. AI Engine ergänzte am 12. Mai in Version 3.4.9 OAuth 2.1 und Dynamic Client Registration für seinen MCP-Server und patchte am 16. Mai in Version 3.5.0 die MCP-OAuth-Autorisierung und Tokenvalidierung, indem Administratorberechtigungen verlangt wurden.3 Die Lehre reicht über WordPress hinaus: Jeder MCP-Server, der Daten verändern, Inhalte veröffentlichen, Einstellungen ändern, private Datensätze lesen, Geld ausgeben oder privilegierte APIs aufrufen kann, braucht Autorisierung auf Aktionsebene unterhalb des Modells und unterhalb des Clients.
Die Verteilung von Tools erhöht das Risiko. Eine im Mai 2026 veröffentlichte Studie zum Klonen von Tools untersuchte 8.861 MCP- und Skills-Repositories mit 100.011 Tool-Einträgen und fand in Bereichen mit hoher Ähnlichkeit hohe bestätigte Klonraten.6 Wiederverwendete Vorlagen können gute Muster verbreiten. Sie können aber ebenso fehlende Prüfungen verbreiten.
Zentrale Erkenntnisse
Für Entwickler von MCP-Servern:
- Validieren Sie Tokens und autorisieren Sie danach die konkrete Aktion. Behandeln Sie beides als getrennte Prüfgrenzen.
- Geben Sie 401 für ungültige oder fehlende Tokens zurück und 403 für gültige Tokens ohne ausreichenden Scope oder ausreichende Berechtigung.
- Testen Sie Tokens mit niedrigen Berechtigungen gegen jedes Administrations-, Schreib-, Veröffentlichungs-, Lösch-, Export- und Konfigurationstool.
Für Sicherheitsteams: - Prüfen Sie MCP-Server wie Anwendungsendpunkte, nicht wie Chat-Plugins. - Fragen Sie, welchem Benutzer, welcher Rolle, welchem Mandanten, welcher Ressource und welcher Aktion jeder Tool-Aufruf zugeordnet wird. - Verlangen Sie Protokolle, die Token-Subjekt, Tool-Name, Ressource, Autorisierungsentscheidung und Ablehnungsgrund zeigen.
Für Agentenplattform-Teams: - Marketplace-Zahlen beweisen keine unabhängigen Implementierungen. - Ähnlichkeits- und Herkunftsprüfungen sind wichtig, weil geklonte Tools verwundbare Autorisierungslogik übernehmen können. - Behandeln Sie Servervorlagen als sicherheitskritische Infrastruktur.
Für Betreiber: - Aktualisieren Sie AI Engine auf 3.5.0 oder neuer, wenn Sie das betroffene WordPress-Plugin einsetzen.23 - Deaktivieren Sie die MCP-Freigabe, bis klar ist, welche WordPress-Rollen welche Tools erreichen können. - Starten Sie jede neue MCP-Verbindung im Nur-Lese-Modus und erweitern Sie die Berechtigungen erst, wenn Tests die Ablehnungspfade nachgewiesen haben.
Was in AI Engine kaputt war
AI Engine positioniert MCP als Möglichkeit, Claude Code, Claude, ChatGPT, OpenClaw und andere Clients über eine URL, einen Anmeldeablauf und einen Zustimmungsschritt mit einer WordPress-Website zu verbinden.3 Version 3.4.9 ergänzte OAuth 2.1 mit Dynamic Client Registration für den MCP-Server, damit browsergesteuerte Clients ohne gemeinsam genutztes Bearer Token eine Verbindung herstellen konnten.3
Diese Produktrichtung ist sinnvoll. Gemeinsame statische Tokens passen schlecht zu benutzerorientierten MCP-Integrationen. OAuth-Abläufe können einen Client, einen Benutzer und einen Server sauberer miteinander verbinden als kopierte Geheimnisse.
Der Fehler lag eine Ebene tiefer. Laut NVD und Wordfence akzeptierte der verwundbare Pfad jedes gültige OAuth Token für den MCP-Zugriff, ohne vor dem Zugriff auf MCP-Tools mit Administrationsrechten Administratorrechte zu prüfen.12 Diese Unterscheidung ist entscheidend:
| Prüfgrenze | Frage | Folge, wenn sie übersprungen wird |
|---|---|---|
| Tokenvalidierung | Wurde das Token von einem gültigen Autorisierungsserver ausgestellt? | Fremde, abgelaufene, fehlerhafte oder wiederverwendete Tokens können durchkommen. |
| Subjektzuordnung | Welchen WordPress-Benutzer oder welches Dienstkonto repräsentiert das Token? | Der Server kann keine benutzerspezifische Richtlinie anwenden. |
| Berechtigungsprüfung | Hat dieses Subjekt die WordPress-Berechtigung für das angeforderte Tool? | Benutzer auf Abonnentenebene können Administrations-Tools erreichen. |
| Tool-Autorisierung | Passt das angeforderte MCP-Tool zu den erlaubten Aktionen des Subjekts? | Eine gültige Sitzung kann Zugriff auf alle Tools werden. |
| Ressourcenautorisierung | Darf das Subjekt diesen Beitrag, diese Option, diesen Benutzer, diese Datei oder diese Website berühren? | Mandanten- oder objektübergreifender Zugriff kann durchkommen. |
Die Patchbeschreibung auf der WordPress-Plugin-Seite verwendet die richtige Sprache: MCP-OAuth-Autorisierung und Tokenvalidierung erfordern nun Administratorberechtigungen und verhindern damit Rechteausweitung durch Nicht-Administratoren.3 Dieser Satz benennt die fehlende Schicht. Ein Token ersetzt keine Berechtigungsprüfung.
OAuth ist notwendig, aber nicht ausreichend
Die Autorisierungsspezifikation von MCP behandelt den Ablauf auf Transportebene für HTTP-basierte Transporte. Laut Spezifikation stellen MCP-Clients im Namen von Ressourceninhabern Anfragen an eingeschränkte MCP-Server; der Ablauf stützt sich auf OAuth 2.1, Metadaten geschützter Ressourcen, Metadaten von Autorisierungsservern, Dynamic Client Registration und die Verwendung von Bearer Tokens.4
Diese Bausteine lösen echte Probleme:
| OAuth-/MCP-Mechanismus | Gelöstes Problem |
|---|---|
| Metadaten geschützter Ressourcen | Der Client erkennt, welcher Autorisierungsserver den MCP-Server schützt. |
| Metadaten des Autorisierungsservers | Der Client erkennt Endpunkte und unterstützte Authentifizierungsfunktionen. |
| Dynamic Client Registration | Neue Clients können sich ohne fest codierte Client-IDs registrieren. |
| Bearer Token im Authorization Header | Der Client sendet Zugangsdaten an der erwarteten HTTP-Stelle. |
| Tokenvalidierung | Der Server weist ungültige, abgelaufene, zielgruppenfalsche oder fremde Tokens zurück. |
401- und 403-Antworten |
Der Server trennt Authentifizierungsfehler von unzureichenden Berechtigungen. |
Die MCP-Spezifikation warnt außerdem vor Confused-Deputy- und Token-Passthrough-Risiken. MCP-Server müssen validieren, dass vorgelegte Tokens auf den MCP-Server zielen, und dürfen ein vom MCP-Client erhaltenes Token nicht an vorgelagerte APIs weiterreichen.4 Diese Vorgaben schützen die Grenze zwischen Diensten.
Autorisierung auf Aktionsebene schützt die Grenze innerhalb des MCP-Servers.
Ein MCP-Server kann 10 oder 100 Tools freigeben. Manche Tools lesen öffentliche Metadaten. Andere lesen private Datensätze. Manche entwerfen Änderungen. Manche verändern Produktionszustand. Manche verwalten Benutzer, Plugins, Zahlungen, Jobs, Nachrichten oder Infrastruktur. Ein gültiges Token sollte nicht automatisch jedes Tool erreichen, nur weil der Server die Sitzung akzeptiert hat.
Die richtige Kette sieht so aus:
- Token-Aussteller, Signatur, Ablaufzeit, Zielgruppe und Transportregeln validieren.
- Das Token einem lokalen Subjekt zuordnen: Benutzer, Dienstkonto, Organisation, Mandant oder Automatisierung.
- Rolle, Scopes, Freigaben, Budgets und Richtlinie dieses Subjekts laden.
- Das angeforderte MCP-Tool nach Aktionstyp und Risiko klassifizieren.
- Die Zielressource prüfen, nicht nur den Tool-Namen.
403zurückgeben, wenn das Token gültig ist, die Aktion aber die Befugnis überschreitet.- Die Entscheidung mit genügend Details für spätere Prüfung protokollieren.
OAuth bringt die Anfrage bis zum Entscheidungspunkt. Autorisierung entscheidet, ob die Aktion dazugehört.
Tool-Aufrufe brauchen eine Berechtigungsmatrix
Agenten-Tools machen alte Endpunktgewohnheiten gefährlicher. Eine normale Webroute hat oft einen schmalen UI-Pfad um sich herum. Ein modellorientiertes Tool sitzt in einem Planer. Der Agent kann erneut versuchen, Aufrufe verketten, Tool-Beschreibungen auswerten, Leseergebnisse mit Schreibaktionen kombinieren und Anweisungen aus nicht vertrauenswürdigen Inhalten in spätere Schritte übernehmen.
Dieses Verhalten verändert das minimale Berechtigungsmodell. Ein Server sollte nicht nur fragen: „Kann dieser Benutzer auf MCP zugreifen?“ Er sollte fragen: „Darf dieser Benutzer diese Aktion über dieses Tool gegen diese Ressource genau jetzt ausführen?“
Verwenden Sie eine Matrix:
| Dimension | Beispielfrage |
|---|---|
| Subjekt | Welchem Benutzer, welcher Rolle, welchem Arbeitsbereich oder welchem Dienstkonto gehört das Token? |
| Tool | Welches MCP-Tool hat der Agent aufgerufen? |
| Aktion | Liest, entwirft, schreibt, löscht, veröffentlicht, exportiert, administriert oder bezahlt das Tool? |
| Ressource | Welche Website, welchen Beitrag, welche Option, welchen Kunden, welche Datei, welches Repository, welche Wallet oder welche Umgebung berührt es? |
| Scope | Enthielt die Autorisierungsfreigabe diese Tool-Familie und Aktionsklasse? |
| Berechtigung | Erlaubt die lokale Anwendungsrolle dieselbe Operation außerhalb von MCP? |
| Kontext | Kam die Anfrage aus einer vertrauenswürdigen UI, einem geplanten Job, einem Remote-Client oder einem nicht vertrauenswürdigen Eingabepfad? |
| Budget | Passt die Aktion zu Grenzwerten für Rate, Größe, Ausgaben, Zielgruppe und Zeit? |
| Prüfung | Erfordert die Aktion menschliche Freigabe oder einen Staging-Schritt? |
| Audit | Kann ein Prüfer die Entscheidung später rekonstruieren? |
Diese Matrix passt zu dem Muster aus Agentenschlüssel brauchen Risikobudgets. Zugangsdaten sollten sich nicht wie universelle Bearer Strings verhalten. Sie sollten wie begrenzte Autoritätsobjekte mit serverseitigen Limits, Aktivitätsprotokollen, Widerruf und konservativen Standardeinstellungen funktionieren.
Sie passt auch zum Verantwortungsrahmen aus Eigentümerschaft von AI-Agenten ist das Vertrauensprimitiv. Jeder privilegierte Tool-Aufruf sollte einem verantwortlichen Konto, einer Sitzung, einem Autoritätsbündel, einem Prüfpfad und einem Stopppfad zugeordnet sein.
Geklonte Tools können dieselbe fehlende Prüfung übernehmen
Der AI-Engine-Fehler wäre auch dann relevant, wenn jeder MCP-Server aus einer sorgfältigen unabhängigen Implementierung stammte. Das Tool-Ökosystem sieht aber nicht so sauber aus.
Kim, Jiang, Hu, Jia und Gong veröffentlichten am 10. Mai 2026 eine Studie zum Klonen von Tools in agentischen AI-Ökosystemen. Ihr Datensatz umfasste 7.508 MCP-Repositories mit 87.564 extrahierten Tools und 1.353 Skills-Repositories mit 12.447 Tools, insgesamt also 8.861 Repositories und 100.011 Tool-Einträge.6 Die Autoren verwendeten Jaccard-Ähnlichkeit auf Token-Ebene und ssdeep für unscharfe strukturelle Ähnlichkeit und verifizierten anschließend Stichprobenpaare aus verschiedenen Ähnlichkeitsbereichen manuell.6
Im Abstract berichten sie, dass 60 % der Kandidaten mit hoher Jaccard-Ähnlichkeit und 85 % der Kandidaten mit hoher ssdeep-Ähnlichkeit im MCP-Ökosystem manuell als Klone bestätigt wurden.6 Die Studie argumentiert, dass versteckte Duplikation Benchmark-Splits verunreinigen, verwundbare Implementierungen verbreiten, Messungen zur Generalisierung von Tool-Nutzung verzerren und Herkunfts-, Zuschreibungs- und Lizenzfragen aufwerfen kann.6
Dieser Befund verändert, wie Teams das Wachstum von MCP-Marktplätzen lesen sollten. Mehr Tools bedeuten nicht automatisch mehr unabhängige Sicherheitsprüfung. Ein wiederholtes Servergerüst kann dem Ökosystem Konsistenz geben. Dieselbe Wiederholung kann aber auch dasselbe schwache Authentifizierungsmuster über viele Pakete kopieren.
Die Sicherheitsprüfung sollte deshalb die Herkunft einbeziehen:
| Prüffrage | Warum sie zählt |
|---|---|
| Stammt der MCP-Server aus einer Vorlage? | Vorlagenfehler können sich über viele Tools ausbreiten. |
| Welches vorgelagerte Repository oder welcher Generator hat den Authentifizierungscode erzeugt? | Die Prüfung sollte an der Quelle erfolgen, nicht nur bei jedem Klon. |
| Deklariert das Tool-Manifest gefährliche Aktionen? | Betreiber müssen Schreib-, Admin-, Export- und Zahlungs-Tools vor der Aktivierung erkennen. |
| Teilen ähnliche Repositories dieselbe Authentifizierungs-Middleware? | Ein Proof of Concept kann eine ganze Tool-Familie abdecken. |
| Zeigt der Marketplace Herausgeber, Version und Patch-Status? | Benutzer brauchen Herkunftsinformationen, wenn eine CVE veröffentlicht wird. |
Agenten-Skills brauchen Paketmanager argumentierte für paketartige Verteilung, Herkunftsnachweise und Richtlinien rund um Skills. MCP-Server brauchen dieselbe Disziplin, plus Autorisierungstests zur Laufzeit.
Die minimale Testsuite für MCP-Autorisierung
Jeder MCP-Server, der private oder veränderbare Daten berührt, sollte eine Autorisierungstestsuite mitliefern. Unit-Tests, die den Erfolgsfall bestätigen, reichen nicht. Das gefährliche Verhalten steckt in den Ablehnungspfaden.
Beginnen Sie mit diesen Fällen:
| Test | Erwartetes Ergebnis |
|---|---|
| Fehlendes Token ruft geschütztes Tool auf | 401 Unauthorized |
| Abgelaufenes Token ruft geschütztes Tool auf | 401 Unauthorized |
| Token für eine andere Zielgruppe ruft geschütztes Tool auf | 401 Unauthorized |
| Gültiges Token mit niedrigen Berechtigungen ruft Admin-Tool auf | 403 Forbidden |
| Gültiges Nur-Lese-Token ruft Schreib-Tool auf | 403 Forbidden |
| Gültiges Schreib-Token berührt Ressource eines anderen Mandanten | 403 Forbidden |
| Gültiges Token ruft Export-Tool über Größenlimit auf | 403 Forbidden oder Entscheidung „Prüfung erforderlich“ |
| Gültiges Token ruft destruktives Tool ohne Freigabestatus auf | 403 Forbidden oder Entscheidung „Prüfung erforderlich“ |
| MCP-Server erhält ein Client-Token für vorgelagerte API | Server weist Passthrough zurück und nutzt einen separaten vorgelagerten Token-Ablauf |
| Abgelehnte Anfrage erscheint im Audit-Protokoll | Protokoll enthält Subjekt, Tool, Ressource, Entscheidung und Grund |
Der exakte Statuscode kann der Produktrichtlinie folgen, aber die Unterscheidung sollte erhalten bleiben: Ungültige Zugangsdaten scheitern vor der Subjektauflösung, gültige Zugangsdaten mit unzureichender Befugnis scheitern an der Autorisierungsgrenze. Die MCP-Spezifikation nennt 401 für fehlende oder ungültige Autorisierung und 403 für ungültige Scopes oder unzureichende Berechtigungen.4
Für WordPress wird dieselbe Regel noch schärfer: MCP-Tools, die Administrationsvorgänge ausführen, sollten dieselben WordPress-Berechtigungen prüfen wie das Dashboard, die REST API oder der interne PHP-Pfad. Eine Rolle mit niedrigeren Rechten sollte keinen neuen Weg zu Administrationsverhalten erhalten, nur weil der Aufruf über ein modellorientiertes Protokoll kam.
Was Marketplace-Prüfungen verlangen sollten
MCP-Marktplätze und Plugin-Verzeichnisse sollten Autorisierungsmetadaten als Paketdaten erster Klasse behandeln. Ein Benutzer, der entscheiden muss, ob er einen Server aktiviert, braucht mehr als eine Tool-Anzahl.
Öffentliche Mindestmetadaten:
| Feld | Grund |
|---|---|
| Herausgeberidentität | Benutzer brauchen einen verantwortlichen Maintainer. |
| Quell-Repository | Prüfer brauchen Implementierungsherkunft. |
| Generiert aus oder geforkt von | Klonfamilien sollten sichtbar sein. |
| Authentifizierungsmodell | API-Schlüssel, OAuth, Browsersitzung, lokale Umgebung oder keine Authentifizierung. |
| Erforderliche Scopes | Betreiber müssen wissen, was das Tool anfordert. |
| Gefährliche Aktionen | Schreiben, löschen, veröffentlichen, exportieren, bezahlen, administrieren, ausführen. |
| Ressourcengrenzen | Mandant, Arbeitsbereich, Projekt, Konto oder lokaler Dateibereich. |
| Audit-Verhalten | Wo Tool-Aufrufe und Ablehnungen erscheinen. |
| Patch-Status | Welche Version bekannte CVEs behebt. |
Diese Felder würden verwundbare Tools nicht beseitigen. Sie würden die Prüffläche real machen. Betreiber könnten deklarierte Autorität mit tatsächlichem Code vergleichen, und Marktplätze könnten ähnliche Implementierungen gruppieren, wenn ein Defekt auftaucht.
Das ist die fehlende Brücke zwischen der MCP-Autorisierungsspezifikation und der Studie zum Klonen von Tools. Die Spezifikation erklärt Implementierern, wie der Ablauf auf Protokollebene funktioniert. Das Ökosystem braucht Herkunftsnachweise auf Paketebene und Belege für Autorisierung auf Aktionsebene, damit wiederholte Implementierungen nicht dieselben fehlenden Prüfungen wiederholen.
Was Sie stattdessen bauen sollten
Bauen Sie MCP-Autorisierung als Pipeline:
- Protokollgrenze: Metadaten geschützter Ressourcen, OAuth-Ablauf, Token-Platzierung, Token-Gültigkeit, Ablaufzeit, Aussteller und Zielgruppe prüfen.
- Subjektgrenze: Das Token einem Benutzer, Dienstkonto, einer Rolle, einem Mandanten und einem Arbeitsbereich zuordnen.
- Tool-Grenze: Jedes Tool nach Lesen, Entwerfen, Schreiben, Löschen, Veröffentlichen, Exportieren, Administrieren, Ausführen oder Bezahlen klassifizieren.
- Ressourcengrenze: Das exakte Zielobjekt oder die Mandantengrenze autorisieren.
- Budgetgrenze: Grenzwerte für Rate, Größe, Ausgaben, Zielgruppe und Zeit vor der Ausführung anwenden.
- Freigabegrenze: Für Hochrisikoaktionen menschliche oder richtlinienbasierte Freigabe verlangen.
- Audit-Grenze: Erlaubnis-, Ablehnungs- und „Prüfung erforderlich“-Entscheidungen an einer Stelle aufzeichnen, die Betreiber prüfen können.
Diese Grenzen sollten außerhalb des Modells liegen. Eine Tool-Beschreibung kann den Agenten anweisen, Administrationsaktionen zu vermeiden. Ein Prompt kann um Vorsicht bitten. Beides sollte die Grenze nicht tragen. Der Server sollte unautorisierte Aktionen auch dann zurückweisen, wenn der Agent höflich, überzeugt oder wiederholt danach fragt.
Die Sandbox Ihres Agenten ist nur ein Vorschlag macht denselben Punkt aus einer anderen Richtung: Gültige Berechtigungen können sich trotzdem zu unsicherem Verhalten zusammensetzen. MCP-Tools brauchen Autorisierung an der Aktionsgrenze, weil der Agent Aktionen schneller kombiniert, als ein Mensch sie im Kopf simulieren kann.
FAQ
Erfordert MCP OAuth?
Nein. MCP-Autorisierung ist optional, und die HTTP-Autorisierungsspezifikation gilt, wenn eine Implementierung Autorisierung über HTTP-basierte Transporte unterstützt. Dieselbe Spezifikation sagt, dass STDIO-Transporte Zugangsdaten aus der Umgebung abrufen sollten, statt dem HTTP-OAuth-Ablauf zu folgen.4
Löst OAuth die MCP-Autorisierung?
OAuth löst nur einen Teil des Problems. OAuth kann einen Autorisierungsablauf etablieren, Tokens ausstellen und einem geschützten MCP-Server erlauben, Bearer Tokens zu validieren. Der MCP-Server muss trotzdem entscheiden, ob das Token-Subjekt die konkrete Tool-Aktion gegen die Zielressource ausführen darf.
Was hat CVE-2026-8719 bewiesen?
CVE-2026-8719 hat bewiesen, dass ein Pfad mit gültigem Token trotzdem lokale Berechtigungsdurchsetzung vermissen lassen kann. NVD und Wordfence beschreiben AI Engine 3.4.9 so, dass jedes gültige OAuth Token für MCP-Zugriff akzeptiert wurde, ohne vor Erreichbarkeit von MCP-Tools auf Administrationsebene Administratorrechte zu prüfen.12
Was sollten MCP-Entwickler zuerst testen?
Testen Sie zuerst Ablehnungspfade: Token mit niedrigen Berechtigungen zu Admin-Tool, Nur-Lese-Token zu Schreib-Tool, gültiges Token zu Ressource eines anderen Mandanten, abgelaufenes Token, Token mit falscher Zielgruppe und destruktives Tool ohne Freigabe. Ein bestandener OAuth-Erfolgsfall beweist keine Autorisierung auf Aktionsebene.
Warum ist Tool-Klonen für die MCP-Sicherheit relevant?
Tool-Klonen ist relevant, weil wiederholte Implementierungen dieselbe verwundbare Middleware, dieselben Authentifizierungsabkürzungen und dieselben fehlenden Prüfungen wiederholen können. Die Tool-Cloning-Studie vom Mai 2026 fand hohe bestätigte Klonraten bei MCP-Kandidaten mit hoher Ähnlichkeit und warnte, dass versteckte Duplikation verwundbare Implementierungen verbreiten kann.6
Referenzen
-
National Vulnerability Database, “CVE-2026-8719,” veröffentlicht am 17. Mai 2026. Quelle für das CVE-Veröffentlichungsdatum, die betroffene Version 3.4.9, den CVSS-Vektor, die CWE-269-Klassifizierung und die fehlende WordPress-Berechtigungsdurchsetzung im MCP-OAuth-Bearer-Token-Autorisierungspfad. ↩↩↩
-
Wordfence Intelligence, “AI Engine 3.4.9 - Authenticated (Subscriber+) Privilege Escalation via Missing Authorization in MCP OAuth Bearer Token,” öffentlich veröffentlicht am 16. Mai 2026, zuletzt aktualisiert am 17. Mai 2026. Quelle für die CVSS-Bewertung 8,8 High, die betroffene Version 3.4.9, die gepatchte Version 3.5.0 und die Behebungsempfehlung. ↩↩↩↩↩
-
WordPress.org Plugin Directory, “AI Engine - The Chatbot, AI Framework & MCP for WordPress,” abgerufen am 18. Mai 2026. Quelle für die MCP-Positionierung des Plugins, die Sprache zur OAuth-Verbindung, den Änderungsprotokolleintrag von Version 3.4.9, der OAuth 2.1 mit Dynamic Client Registration für den MCP-Server ergänzt, und den Änderungsprotokolleintrag von Version 3.5.0, der Administratorberechtigungen für MCP-OAuth-Autorisierung und Tokenvalidierung verlangt. ↩↩↩↩↩↩↩
-
Model Context Protocol, “Authorization,” Spezifikationsrevision 2025-06-18. Quelle für den HTTP-Autorisierungsumfang von MCP, die OAuth-2.1-Grundlage, Metadaten geschützter Ressourcen, Metadaten von Autorisierungsservern, Bearer-Token-Nutzung, Tokenvalidierung, Zielgruppenbindung, Token-Passthrough-Beschränkung, Confused-Deputy-Diskussion und
401-/403-Hinweise zu Autorisierungsfehlern. ↩↩↩↩↩ -
Model Context Protocol, “Understanding Authorization in MCP,” Sicherheitstutorial, abgerufen am 18. Mai 2026. Quelle für die Einordnung des Tutorials, dass MCP-Autorisierung sensible Ressourcen und Operationen schützt, die von MCP-Servern freigegeben werden, und den Zugriff auf berechtigte Benutzer beschränken sollte. ↩
-
Taein Kim, David Jiang, Yuepeng Hu, Yuqi Jia und Neil Gong, “Evaluating Tool Cloning in Agentic-AI Ecosystems,” arXiv:2605.09817, eingereicht am 10. Mai 2026. Quelle für die Datensatzgrößen, den Überblick über die Ähnlichkeitsmethoden, die manuell bestätigten Klonraten und die Risiken rund um Benchmark-Verunreinigung, Verbreitung verwundbarer Implementierungen, Herkunft, Zuschreibung und Lizenzfragen. ↩↩↩↩↩↩