§ PLATTFORM / TOOL-INTEGRITÄT
Tool verankern. Abweichung blockieren. Nachweisen.
Tool Poisoning ist 2026 der wirkungsvollste Angriff auf Enterprise-KI-Agenten — ein einzig geänderter MCP-Tool-Descriptor verwandelt ein harmloses Tool in einen Exfiltrationskanal. Execlave legt fest, was jedes Tool sein darf, blockiert sofort bei Änderung und erzeugt den Nachweis dafür.
§ FUNKTIONEN
Descriptor-Integritäts-Governance für MCP-Tools
Die Verteidigung für den führenden Enterprise-Agenten-Angriff 2026 — die Kombination, die kein Gateway und keine Prompt-Firewall bietet.
Descriptor-Integritäts-Governance für MCP-Tools
01 / Funktion
Descriptor-Integritäts-Pinning
Verankern Sie pro Agent eine Baseline genehmigter (Server-, Tool-, Descriptor-Hash-)Tupel. Die vertrauenswürdige Form jedes Tools — erfasst und durchgesetzt.
02 / Funktion
Laufzeit-Abweichungsvergleich
Jeder Enforce-Aufruf vergleicht den aktuellen Descriptor mit der Baseline. Ein geänderter Hash oder ein nicht genehmigtes Tool bzw. Server gilt als Verstoß.
03 / Funktion
Poisoning-Erkennung
Tool-Beschreibungen werden auf Injection- und Exfiltrationsmuster gescannt, sodass eine vergiftete Beschreibung selbst bei einem bekannten Tool als kritisch markiert wird.
04 / Funktion
Manipulationssichere Nachweise
Jede Entscheidung wird in ein hashverkettetes Audit-Log geschrieben und auf die OWASP-Agentic-Tool-Missbrauchs-Haltung abgebildet — ein Nachweis in Prüferqualität, nicht nur ein Log-Eintrag.
§ FRAGEN
MCP Tool Poisoning, erklärt
MCP Tool Poisoning, erklärt
Was ist MCP Tool Poisoning?
MCP Tool Poisoning ist ein Supply-Chain-Angriff, bei dem die Beschreibung oder das Schema eines Model-Context-Protocol-Tools verändert wird, nachdem ein Agent dem Tool bereits vertraut hat — wodurch ein harmloses Tool zu einem wird, das Daten exfiltriert oder unbeabsichtigte Aktionen ausführt. Da Agenten auf Basis des aktuellen Tool-Descriptors handeln, kann eine einzige geänderte Beschreibung einen Agenten umleiten, ohne dass sich Ihr eigener Code ändert.
Wie verhindert Descriptor-Pinning Tool Poisoning?
Descriptor-Pinning speichert einen kryptografischen Hash jedes genehmigten Tool-Descriptors als Baseline pro Agent. Zur Laufzeit vergleicht Execlave den aktuellen Descriptor mit dem verankerten Hash; bei Abweichung oder wenn ein nicht genehmigtes Tool bzw. Server auftaucht, wird der Aufruf blockiert oder zur Genehmigung weitergeleitet, bevor der Agent handelt. Die Änderung wird im Moment ihres Auftretens erkannt — nicht erst bei einem späteren Audit.
Ist Execlave ein MCP-Gateway oder eine Registry?
Nein. Execlave ist die Governance- und Nachweisschicht oberhalb der Verbindungsschicht. Es verarbeitet Tool-Call-Ereignisse aus einem MCP-Gateway, dem Agent Control Standard Hook oder direkt aus dem SDK und ergänzt Richtlinien pro Agent, synchrone Durchsetzung und manipulationssicheres Audit — ohne im Datenpfad zu sitzen.
Was passiert bei einem legitimen Tool-Update?
Betreiben Sie die Richtlinie im Modus „Genehmigung erforderlich“ und verankern Sie mit einem Klick neu. Ein legitimes Update erzeugt ein Abweichungsereignis, das Sie prüfen und akzeptieren — dabei wird der neue Descriptor-Satz als Baseline übernommen. So wird ein echtes Upgrade zu einer einstufigen Genehmigung statt zu einem Ausfall.
§ VERGLEICH
Execlave vs. MCP-Gateways und Prompt-Firewalls
Gateways dominieren die Verbindungsschicht und enden bei Audit-Logs. Prompt-Firewalls erkennen, verankern oder beweisen aber nicht. Execlave vereint Descriptor-Pinning, synchrone Durchsetzung, Richtlinien pro Agent und kryptografische Nachweise — gemeinsam.
Execlave vs. MCP-Gateways und Prompt-Firewalls
| Funktion | MCP-Gateways | Prompt-Firewalls | Execlave |
|---|---|---|---|
| Tool-/Server-Allowlist | Ja | Teilweise | Ja |
| Descriptor-Integritäts-Pinning + Abweichungsvergleich | Nein | Teilweise | Ja |
| Synchrones Blockieren / Genehmigung erforderlich | Verbindungsschicht | Ja | Ja |
| Richtlinien pro Agent (nicht einheitlich) | Teilweise | Teilweise | Ja |
| Compliance-Mapping + kryptografische Nachweise | Nur Audit | Nur Haltung | Ja |
Verwalten Sie Ihre MCP-Tools, bevor sie vergiftet werden
Verankern Sie jeden Tool-Descriptor, blockieren Sie Abweichungen synchron und übergeben Sie einem Prüfer den Nachweis. Kostenlos starten, Cloud oder selbst gehostet.