CVE-2025-6514: Remote-Code-Ausfuehrung in der meistgenutzten MCP-Bibliothek
Im Januar 2026 deckten Sicherheitsforscher CVE-2025-6514 auf — eine CVSS-9.6-Schwachstelle fuer Remote-Code-Ausfuehrung in mcp-remote, der am weitesten verbreiteten MCP-Transport-Bibliothek. Die Schwachstelle ermoeglicht es einem Angreifer, ueber einen unsicheren Deserialisierungspfad im WebSocket-Handler der Bibliothek beliebigen Code auf dem Host-Rechner auszufuehren.
Dies ist kein theoretisches Risiko. Das MCP-Oekosystem verzeichnet mittlerweile ueber 97 Millionen monatliche Downloads ueber npm, PyPI und crates.io. Allein mcp-remote macht ueber 12 Millionen davon aus. Die Bibliothek ist eine Abhaengigkeit dutzender beliebter Automatisierungsplattformen, AI-Agent-Frameworks und Enterprise-Middleware-Produkte.
Patches wurden innerhalb von 72 Stunden veroeffentlicht, aber die Akzeptanz ist langsam. Stand Maerz 2026 laufen etwa 30% der Installationen noch mit ungepatchten Versionen. Die Schwachstelle wurde innerhalb weniger Tage nach der CVE-Veroeffentlichung aktiv ausgenutzt.
Das Ausmass der MCP-Sicherheitsexposition
CVE-2025-6514 ist kein Einzelfall. Das MCP-Oekosystem hat seit der Erstveroeffentlichung des Protokolls ueber 30 CVEs angesammelt, darunter Authentifizierungs-Bypasses, Tool-Poisoning, Prompt-Injection ueber Tool-Beschreibungen und unautorisierte Datenexfiltration. Ein Audit von Trail of Bits aus dem Jahr 2026 ergab, dass 38% der oeffentlich gelisteten MCP-Server keinerlei Authentifizierung aufweisen.
Tool-Poisoning-Angriffe — bei denen ein boesartiger MCP-Server Tools mit manipulierten Beschreibungen bewirbt, um LLMs zu schaedlichen Aktionen zu verleiten — wurden in mindestens sechs oeffentlichen Vorfaellen dokumentiert. Rug-Pull-Angriffe nutzen die Tatsache aus, dass die meisten MCP-Clients Tool-Schemas cachen, aber zur Ausfuehrungszeit nicht erneut validieren.
Prompt-Injection ueber Tool-Beschreibungen ist besonders tueckisch. Ein MCP-Server kann Anweisungen in seine Tool-Beschreibungen einbetten, die das Verhalten des LLM ueber das gesamte Gespraech hinweg beeinflussen.
Zapiers Antwort: AI Guardrails
Zapier veroeffentlichte im Februar 2026 AI Guardrails — eine Funktion, die Output-Sicherheitschecks zu einzelnen Zaps hinzufuegt. Dies ist ein vernuenftiges Produkt-Update, aber Output-Guardrails sind im Wesentlichen ein Last-Mile-Check. Sie bewerten, was aus einer Automatisierung herauskommt, nachdem sie bereits gelaufen ist — sie kontrollieren nicht die Eingaben, die Ausfuehrungsweise, die Tool-Genehmigung oder die Vertrauenswuerdigkeit der Lieferkette.
In einem Oekosystem, in dem die beliebteste Transport-Bibliothek gerade einen CVSS-9.6-RCE hatte, ist die Lieferketten-Frage die wichtigste.
Die Luecke: 8.000+ Konnektoren, null Lieferketten-Governance
Zapiers Integrationsmarktplatz listet ueber 8.000 Konnektoren auf. Diese Konnektoren wurden nicht auf MCP-spezifische Angriffsvektoren auditiert: Tool-Poisoning, Schema-Manipulation, Prompt-Injection ueber Tool-Beschreibungen oder Deserialisierungs-Schwachstellen in Transportschichten. Output-Guardrails koennen keinen Supply-Chain-Angriff erkennen, der Daten waehrend der Ausfuehrung ueber einen Seitenkanal exfiltriert.
Das strukturelle Problem ist, dass Guardrails auf der falschen Schicht operieren. In einem modernen AI-Automatisierungs-Stack dringen Bedrohungen ueber die Lieferketten-Schicht, die Eingabe-Schicht, die Ausfuehrungs-Schicht und die Ausgabe-Schicht ein. Guardrails adressieren nur die Ausgabe-Schicht.
JieGous Ansatz: Zertifizierte Integrationen und 10-Schicht-Governance
JieGou pflegt 250+ zertifizierte Integrationen, die einen 3-stufigen Ueberpruefungsprozess durchlaufen haben:
- Verifiziert — Die Integration funktioniert wie dokumentiert. API-Vertraege stimmen ueberein. Fehlerbehandlung ist korrekt.
- Zertifiziert — Die Integration wurde auf MCP-spezifische Angriffsvektoren auditiert. Tool-Beschreibungen wurden auf Prompt-Injection-Potenzial ueberprueft. Transportschichten wurden gegen bekannte CVEs gecheckt.
- Enterprise-Ready — Die Integration erfuellt zusaetzliche Anforderungen fuer regulierte Branchen: Datenresidenz-Compliance, Vollstaendigkeit des Audit-Trails, Verschluesselung im Ruhezustand und bei der Uebertragung.
Als CVE-2025-6514 veroeffentlicht wurde, konnte JieGous Sicherheitsteam alle 250+ Integrationen innerhalb von 48 Stunden auditieren und bestaetigen, dass keine den verwundbaren mcp-remote-Transportpfad nutzte.
JieGous 10-Schicht-Governance-Stack erweitert den Schutz ueber den Integrationskatalog hinaus. Eingabevalidierung prueft vor der Ausfuehrung auf Prompt-Injection. Tool-Genehmigungs-Gates erfordern explizite rollenbasierte Autorisierung. GovernanceScore bietet eine kontinuierliche quantitative Metrik (0-100) ueber alle 10 Schichten.
Unsere Integrationen sind zertifiziert. Sind Ihre es auch?
CVE-2025-6514 ist ein Weckruf. Output-Guardrails sind ein vernuenftiger erster Schritt, aber keine Sicherheitsarchitektur. JieGous 250+ zertifizierte Integrationen und 10-Schicht-Governance-Stack wurden fuer genau das Bedrohungsmodell gebaut, das MCP einfuehrt. Jede Integration ist ueberprueft. Jede Schicht wird ueberwacht. Jede Aktion wird protokolliert.
Erfahren Sie, wie JieGous MCP-Governance abschneidet. MCP-Governance-Features erkunden oder kostenlos starten.