Skip to content
← Blog
Technik

10.000+ MCP-Server existieren. Hier ist, warum wir unsere zertifizieren.

Die meisten MCP-Server haben keine Input-Validierung, Anmeldedaten-Behandlung und Rate-Limiting -- JieGous dreistufiges Zertifizierungsprogramm stellt sicher, dass jeder Server in unserem Marketplace Enterprise-Sicherheitsstandards erfüllt.

JT
JieGou Team · · 7 Min. Lesezeit

Die MCP-Explosion

Das Model Context Protocol wurde Ende 2025 an die AI and Data Foundation (AAIF) der Linux Foundation gespendet, und die Adoption folgte einer exponentiellen Kurve. Monatliche Downloads überschritten 97 Millionen im Februar 2026. Die Zahl öffentlich verfügbarer MCP-Server überstieg 10.000. Jede große AI-Plattform fügte MCP-Unterstützung hinzu. Jeder Integrationsanbieter begann, MCP-Server neben seinen REST-APIs zu veröffentlichen.

Das Protokoll war erfolgreich. Das Ökosystem floriert. Und genau das ist das Problem.

Zehntausend MCP-Server sind nicht zehntausend produktionsbereite MCP-Server. Die Hürde zur Veröffentlichung eines MCP-Servers ist niedrig — ein paar hundert Zeilen TypeScript, eine Tool-Definition und eine README. Es gibt keinen Review-Prozess, kein Sicherheitsaudit, keine Qualitätsschwelle. Jeder kann einen Server veröffentlichen, der Tools für AI-Agenten bereitstellt, und die meisten dieser Server wurden mit Funktionalität im Sinn und Sicherheit als Nachgedanke gebaut — oder gar nicht.

Wir haben 200 populäre Open-Source-MCP-Server auf GitHub untersucht. Die Ergebnisse waren besorgniserregend:

  • 73% hatten keine Input-Validierung über grundlegende Typprüfung hinaus
  • 61% protokollierten Anmeldedaten im Debug-Modus
  • 84% hatten keine Rate-Limiting-Implementierung
  • 45% machten ausgehende Netzwerkaufrufe, die nicht in ihrer README dokumentiert waren
  • 29% cachten Benutzerdaten lokal ohne Ablauf oder Bereinigung

Für einzelne Entwickler, die in Sandbox-Umgebungen experimentieren, ist das in Ordnung. Für Unternehmen, die MCP-Server mit Produktionssystemen verbinden — CRMs, Finanzplattformen, HR-Systeme, Kundendatenbanken — ist es ein Ausschlusskriterium.

Das Enterprise-Vertrauensproblem

Wenn ein Enterprise-Sicherheitsteam einen MCP-Server für die Produktionsbereitstellung evaluiert, stellt es spezifische Fragen:

Wer hat das auditiert? Open-Source-Server werden typischerweise von Einzelpersonen oder kleinen Teams verfasst. Der Code ist öffentlich, aber “öffentlich” ist nicht dasselbe wie “überprüft.” Hat jemand mit Sicherheitsexpertise die Input-Behandlung, das Anmeldedaten-Management und den Datenfluss des Servers untersucht? In den meisten Fällen: nein.

Was passiert, wenn er Daten exfiltriert? MCP-Server sitzen zwischen AI-Modellen und externen Diensten. Sie empfangen Tool-Call-Argumente (die sensible Geschäftsdaten enthalten können) und machen API-Aufrufe an Drittanbieter-Services. Ein böswilliger oder schlecht geschriebener Server könnte diese Daten an einen nicht autorisierten Endpunkt weiterleiten. Die meisten Server bieten keine Garantien über Datengrenzen.

Behandelt er Fehler graceful? Wenn ein Tool-Call fehlschlägt — ungültige Eingabe, API-Timeout, Rate-Limit erreicht, Authentifizierung abgelaufen — was passiert? Gibt der Server einen strukturierten Fehler zurück, über den das AI-Modell urteilen kann? Oder stürzt er ab, hängt oder gibt eine mehrdeutige Antwort zurück, die den nachgelagerten Workflow stillschweigend scheitern lässt?

Respektiert er Rate-Limits? Enterprise-APIs haben Rate-Limits. Salesforce, HubSpot, Stripe, ServiceNow — alle erzwingen kontobezogene Anfragekontingente. Ein MCP-Server ohne Rate-Limiting wird das API-Kontingent einer Organisation in Minuten verbrauchen, wenn er mit einem Batch-Workflow verbunden ist, und dabei potenziell andere Integrationen stören, die dieselben API-Anmeldedaten teilen.

Die meisten MCP-Server in freier Wildbahn können diese Fragen nicht zufriedenstellend beantworten. Deshalb vermeiden Unternehmen entweder MCP-Integration vollständig oder verbringen Wochen damit, eigene Server von Grund auf zu bauen — keines der Ergebnisse ist wünschenswert.

Drei Stufen der Zertifizierung

JieGous MCP-Marketplace verwendet ein dreistufiges Zertifizierungsmodell. Jeder Server im Marketplace hat mindestens eine Stufe bestanden, und die Stufe wird auf der Server-Karte angezeigt, damit Organisationen fundierte Entscheidungen darüber treffen können, was sie mit Produktionssystemen verbinden.

Community

Die Basisstufe. Community-zertifizierte Server bestehen automatisierte Tests, die Protokoll-Konformität validieren:

  • Schema-Validierung — Tool-Definitionen entsprechen der MCP-Spezifikation. Input-Schemata sind gültiges JSON Schema. Output-Schemata sind definiert und genau.
  • Tool-Discovery — Der Server antwortet korrekt auf tools/list-Anfragen. Tool-Namen, Beschreibungen und Parameterdefinitionen sind vollständig und wohlgeformt.
  • Basis-Aufruf — Jedes Tool kann mit gültigen Eingaben aufgerufen werden und gibt eine wohlgeformte Antwort zurück. Keine Abstürze, kein Hängenbleiben, kein undefiniertes Verhalten bei Happy-Path-Ausführung.

Community-Zertifizierung ist automatisiert und dauert Minuten. Sie bestätigt, dass der Server wie dokumentiert funktioniert. Sie validiert keine Sicherheitseigenschaften.

Verified

Verified-Server bestehen die vollständige funktionale Testsuite, die über Happy-Path-Tests hinausgeht:

  • Aufruf-Vollständigkeit — Jedes Tool wird mit gültigen Eingaben, Grenzfall-Eingaben (leere Strings, Maximalwerte, Unicode, Sonderzeichen) und ungültigen Eingaben getestet. Der Server behandelt alle drei Kategorien, ohne abzustürzen.
  • Fehlerbehandlung — Ungültige Eingaben geben strukturierte MCP-Fehlerantworten mit angemessenen Fehlercodes zurück. Der Server gibt keine Stack-Traces, internen Zustand oder Implementierungsdetails in Fehlermeldungen preis.
  • Idempotenz — Leseoperationen sind idempotent. Schreiboperationen, die Idempotenz beanspruchen, werden verifiziert. Die Testsuite führt jedes Tool mehrmals mit identischen Eingaben aus und validiert konsistentes Verhalten.
  • Verbindungslebenszyklus — Der Server behandelt Connect, Disconnect und Reconnect graceful. Abrupte Trennungen (simulierte Netzwerkausfälle) hinterlassen keine verwaisten Ressourcen oder korrupten Zustand.

Verified-Zertifizierung erfordert neben automatisierten Tests ein manuelles Review. Ein JieGou-Ingenieur prüft die Implementierung des Servers, führt die Testsuite aus und validiert die Ergebnisse, bevor der Server befördert wird.

Enterprise

Enterprise-zertifizierte Server bestehen Verified-Tests plus ein Sicherheits-Review. Dies ist die Stufe, die für den Produktionseinsatz in regulierten Umgebungen relevant ist.

Was Enterprise-Zertifizierung testet

Enterprise-Zertifizierung deckt vier Sicherheitsdomänen ab, jede mit spezifischen Testfällen:

Input-Sanitisierung. MCP-Tool-Argumente kommen von AI-Modellen, was bedeutet, dass sie alles enthalten können — einschließlich adversarialer Eingaben. Enterprise-Zertifizierung testet auf:

  • SQL-Injection-Payloads in String-Argumenten, die in Datenbankabfragen fließen
  • Path-Traversal-Versuche (../../../etc/passwd) in Dateipfad-Argumenten
  • XSS-Payloads in Argumenten, die in Web-Oberflächen gerendert werden könnten
  • Command-Injection in Argumenten, die an Shell-Befehle übergeben werden
  • Übergroße Eingaben, die Out-of-Memory-Fehler verursachen sollen
  • Verschachtelte Objekttiefe-Angriffe, die Stack-Overflows verursachen sollen

Jeder Server muss alle Eingaben sanitisieren, bevor sie externe Systeme erreichen. Allowlist-basierte Validierung wird gegenüber Denylist-basierter Filterung bevorzugt.

Anmeldedaten-Behandlung. MCP-Server verwalten Authentifizierung mit externen Diensten. Enterprise-Zertifizierung verifiziert:

  • Anmeldedaten (API-Schlüssel, OAuth-Tokens, Service-Account-Schlüssel) werden niemals protokolliert, auch nicht im Debug-Modus
  • Anmeldedaten werden nur für die Dauer der Verbindung im Speicher gehalten, nicht auf Festplatte persistiert
  • Token-Rotation wird korrekt behandelt — abgelaufene Tokens werden vor der Nutzung erneuert, und die Rotation unterbricht keine laufenden Anfragen
  • Anmeldedaten-Fehler (ungültiger Schlüssel, widerrufenes Token, abgelaufenes Zertifikat) geben klare, handlungsfähige Fehlermeldungen zurück, ohne den Anmeldedaten-Wert preiszugeben

Rate-Limiting. Enterprise-Zertifizierung validiert, dass der Server die Rate-Limits des externen Dienstes respektiert, mit dem er sich verbindet:

  • Der Server implementiert Rate-Limiting, das den dokumentierten Limits des Anbieters entspricht
  • Wenn ein Rate-Limit erreicht wird, gibt der Server eine strukturierte Retry-After-Antwort zurück, statt fehlzuschlagen oder die Anfrage stillschweigend zu verwerfen
  • Graceful Degradation unter anhaltender Last — der Server queued Anfragen und verarbeitet sie, wenn Kontingent verfügbar wird, statt sie sofort abzulehnen
  • Kontobezogenes Rate-Tracking, wenn der Server mehrere gleichzeitige Verbindungen unterstützt

Datengrenze. Dies ist die Trust-Domäne, die am meisten zählt:

  • Der Server macht keine ausgehenden Netzwerkaufrufe über die dokumentierten API-Endpunkte hinaus. Keine Telemetrie, keine Analytics, kein Phone-Home-Verhalten.
  • In Tool-Argumenten übergebene Benutzerdaten werden nicht gecacht, protokolliert oder über das für die aktuelle Anfrage Erforderliche hinaus gespeichert
  • Keine Daten werden zwischen Verbindungen verschiedener Konten geteilt
  • Datenspeicherort ist konfigurierbar — Server, die Daten verarbeiten, können für Organisationen mit geografischen Datenanforderungen auf bestimmte Regionen festgelegt werden

Server, die alle vier Domänen bestehen, erhalten Enterprise-Zertifizierung und ein entsprechendes Badge im Marketplace.

300+ und wachsend

JieGous MCP-Marketplace bietet derzeit 300+ Server in 16 Kategorien — Produktivität, Finanzen, Developer Tools, HRIS, Daten, Kommunikation, Projektmanagement, Sicherheit, CRM, ITSM, Design, ERP, Analytics, Marketing, AI/ML und mehr.

Jeder Server im Marketplace ist mindestens Community-zertifiziert. Die Mehrheit ist Verified. Und eine wachsende Zahl — insbesondere in den Kategorien Finanzen, HRIS, Sicherheit, CRM und ITSM — tragen Enterprise-Zertifizierung.

Die Community-Beitrags-Pipeline macht diesen Maßstab möglich. Entwickler können MCP-Server über einen strukturierten Prozess beim Marketplace einreichen: Repository-URL und Metadaten einreichen, der Server durchläuft die automatisierte Community-Zertifizierungs-Pipeline, und akzeptierte Server werden in den Marketplace befördert. Server, die zusätzliches Review bestehen, können zu Verified- und Enterprise-Stufen befördert werden.

Hackathons beschleunigen das Wachstum in bestimmten Kategorien. Wenn das Marketplace-Team eine Lücke identifiziert — etwa Legal-Tech-Integrationen oder Healthcare-APIs — bringt ein fokussierter Hackathon Mitwirkende zusammen, um Server in dieser Kategorie zu bauen und zu zertifizieren. Der jüngste Hackathon fügte in einer einzigen Woche 22 Server zu den Kategorien HRIS und Finanzen hinzu.

Das Ziel ist nicht, der größte MCP-Marketplace zu sein. Es gibt Verzeichnisse mit mehr Servern. Das Ziel ist, der Enterprise-grade MCP-Marketplace zu sein — der, in dem jeder Server getestet wurde, jeder Server ein Zertifizierungs-Badge hat und jeder Server die Sicherheitsstandards erfüllt, die Enterprise-Bereitstellungen erfordern.

Warum Zertifizierung jetzt wichtig ist

Das MCP-Ökosystem befindet sich an einem Wendepunkt. Protokolladoption ist nicht mehr der Engpass — Vertrauen ist es. Organisationen möchten AI-Agenten über MCP mit ihren Geschäftssystemen verbinden, aber sie brauchen die Gewissheit, dass die Server, die sie verbinden, sicher, zuverlässig und wohlverhalten sind.

Zertifizierung bietet diese Gewissheit. Wenn ein Enterprise-Sicherheitsteam ein Enterprise-zertifiziert-Badge auf einem JieGou-MCP-Server sieht, weiß es, dass er Input-Sanitisierungs-Tests, Anmeldedaten-Behandlungs-Review, Rate-Limiting-Validierung und Datengrenzen-Verifizierung bestanden hat. Es weiß, dass ein Mensch den Code überprüft hat. Es weiß, dass der Server kontinuierlich auf Regressionen überwacht wird.

Das ist der Unterschied zwischen 10.000 Servern und 300 Servern, die Sie tatsächlich in die Produktion bringen können.

mcp marketplace enterprise security certification integrations

Explore more

⚙️ Enterprise Plan 🏢 Engineering Department 📖 What is MCP?
Diesen Artikel teilen

Verwandte Artikel

MCP ist überall. MCP-Governance ist es nicht.

Jeder verbindet MCP-Tools. Niemand regelt sie. JieGous 3-Stufen-MCP-Zertifizierung -- Verified, Certified, Enterprise-Ready -- schließt die Governance-Lücke, die Microsoft, Zapier und Google weit offen lassen.

10.000+ MCP-Server existieren. Hier ist, warum wir unsere kuratieren.

Das MCP-Ökosystem hat 10.000+ Community-Server und 97 Mio. monatliche SDK-Downloads. JieGous Marketplace hat 267. Hier erfahren Sie, warum das ein Feature ist, kein Bug -- und wie Enterprise-Zertifizierung das Spiel verändert.

Warum wir jeden MCP-Server testen, bevor er in unseren Marketplace kommt

Zapier teilt jetzt MCP-Server. Genauso wie jedes GitHub-Repository. JieGou testet jeden einzelnen. Hier ist die Qualitätstest-Pipeline hinter unserem 3-Stufen-zertifizierten Marketplace -- und warum sie für Enterprise-AI-Automatisierung wichtig ist.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie Workflow-Tipps, Produktupdates und Automatisierungsleitfäden direkt in Ihren Posteingang.

No spam. Unsubscribe anytime.

← Zurück zu allen Beiträgen