Aktualisierung des Model Context Protocols: Sicherheitsverbesserungen und Skalierungsmöglichkeiten für KI-Agenten

Stärkung der Infrastruktursicherheit: Die Rolle des aktualisierten Model Context Protocols (MCP)

Die fortschreitende Integration von Künstlicher Intelligenz in Unternehmensprozesse stellt Unternehmen vor neue Herausforderungen, insbesondere im Bereich der Sicherheit und Skalierbarkeit. Ein zentraler Baustein zur Bewältigung dieser Komplexität ist das Model Context Protocol (MCP). Die jüngste Aktualisierung der MCP-Spezifikation zielt darauf ab, die Sicherheit von Unternehmens-Infrastrukturen zu festigen und den Übergang von KI-Agenten aus der Pilotphase in den produktiven Einsatz zu erleichtern. Diese Entwicklungen sind für jede B2B-Organisation, die auf KI-gestützte Automatisierung setzt, von erheblicher Bedeutung.

MCP: Von der Entwickler-Neugier zur praktischen Infrastruktur

Das von Anthropic initiierte Open-Source-Projekt, das vor einem Jahr ins Leben gerufen wurde, hat eine überarbeitete Spezifikation veröffentlicht. Diese Aktualisierung reagiert auf die operativen Schwierigkeiten, die generative KI-Agenten bisher in der Pilotphase festhielten. Mit der Unterstützung von Branchengrößen wie Amazon Web Services (AWS), Microsoft und Google Cloud bietet das Update nun erweiterte Unterstützung für langlaufende Workflows und engere Sicherheitskontrollen. Der Markt bewegt sich weg von fragilen, maßgeschneiderten Integrationen hin zu standardisierten Lösungen, die es Unternehmen ermöglichen, agentenbasierte KI ohne massive technische Schulden in ihre Datenbestände zu integrieren.

Die Akzeptanz des MCP hat sich im letzten Jahr signifikant erhöht. Die Anzahl der registrierten Server ist seit September um 407 Prozent gestiegen und umfasst mittlerweile fast zweitausend Instanzen. Dies zeigt, dass sich das Narrativ von experimentellen Chatbots hin zur strukturellen Integration verschoben hat. Microsoft hat diesen Wandel bereits durch die native MCP-Unterstützung in Windows 11 signalisiert, womit der Standard direkt in die Betriebssystemebene integriert wird.

Parallel zur Software-Standardisierung findet ein aggressiver Hardware-Ausbau statt, wie beispielsweise OpenAIs "Stargate"-Programm zeigt. Diese Entwicklungen signalisieren ein schnelles Wachstum der KI-Fähigkeiten und der zugrunde liegenden Datenmengen. Das MCP fungiert hierbei als die "Infrastruktur", die diese massiven Rechenressourcen speist. Die Effektivität von KI hängt maßgeblich davon ab, wie sicher sie auf Daten zugreifen kann.

Bisher waren die Schnittstellen zwischen Large Language Models (LLMs) und Datenbanken meist synchron. Dies ist für einfache Anfragen ausreichend, stößt jedoch bei komplexen Aufgaben wie der Migration von Codebasen oder der Analyse von Gesundheitsdaten an Grenzen. Die neue "Tasks"-Funktion (SEP-1686) adressiert diese Problematik, indem sie Servern eine standardisierte Methode zur Aufgabenverfolgung bietet. Clients können den Status abfragen oder Aufträge bei Bedarf abbrechen. Dies verleiht agentenbasierten Workflows die notwendige Resilienz, insbesondere für Operationsteams, die Infrastrukturmigrationen automatisieren und Agenten benötigen, die stundenlang ohne Zeitüberschreitung arbeiten können.

Verbesserungen der MCP-Spezifikation im Bereich Sicherheit

Für Chief Information Security Officers (CISOs) stellen KI-Agenten oft eine große und unkontrollierte Angriffsfläche dar. Bereits Mitte 2025 wurden etwa 1.800 MCP-Server im öffentlichen Internet entdeckt, was auf eine noch größere private Infrastruktur-Adoption hindeutet. Eine mangelhafte Implementierung des MCP kann zu einer unkontrollierten Ausbreitung von Integrationen und einer erweiterten Angriffsfläche führen.

Zur Behebung dieser Sicherheitslücken haben die Entwickler die Herausforderungen der dynamischen Client-Registrierung (DCR) angegangen. Die Lösung ist die URL-basierte Client-Registrierung (SEP-991), bei der Clients eine eindeutige ID bereitstellen, die auf ein selbstverwaltetes Metadaten-Dokument verweist. Dies reduziert Engpässe in der Administration.

Ein weiteres wichtiges Feature ist der "URL Mode Elicitation" (SEP-1036). Dieser ermöglicht es einem Server, beispielsweise für Zahlungsabwicklungen, einen Benutzer zu einem sicheren Browserfenster für die Eingabe von Anmeldeinformationen umzuleiten. Der Agent selbst erhält nie das Passwort, sondern lediglich ein Token. Dies isoliert die primären Anmeldeinformationen, was für die PCI-Konformität unerlässlich ist.

Harish Peri, SVP bei Okta, sieht darin einen notwendigen Schritt zur Schaffung eines sicheren und offenen KI-Ökosystems mit der erforderlichen Aufsicht und Zugriffskontrolle.

Eine weitere, weniger beachtete Funktion des Updates ist "Sampling with Tools" (SEP-1577). Bisher agierten Server als passive Datenabfrager. Nun können sie eigene Schleifen unter Verwendung der Client-Tokens ausführen. Dies ermöglicht beispielsweise einem "Forschungsserver", Sub-Agenten zu starten, um Dokumente zu durchsuchen und Berichte zu synthetisieren, ohne dass benutzerdefinierter Client-Code erforderlich ist. Die Logik rückt somit näher an die Daten heran.

Die Einrichtung dieser Verbindungen ist jedoch nur der erste Schritt. Mayur Upadhyaya, CEO von APIContext, betont, dass die erste Phase der MCP-Adoption gezeigt hat, dass Unternehmens-KI nicht mit Neuentwicklungen, sondern mit der Exposition beginnt. Die nächste Herausforderung ist die Sichtbarkeit. Unternehmen müssen die Verfügbarkeit von MCP überwachen und Authentifizierungsabläufe ebenso rigoros validieren, wie sie es heute bei APIs tun.

Die Roadmap des MCP spiegelt dies wider, mit Updates, die auf verbesserte "Zuverlässigkeit und Beobachtbarkeit" zum Debuggen abzielen. Das Ignorieren dieser Aspekte kann zu Problemen führen. Es wird empfohlen, MCP von Anfang an mit starken Identitäts-, RBAC- (Role-Based Access Control) und Observability-Mechanismen zu koppeln.

Branchenweite Annahme des MCP für die Infrastruktur

Der Wert eines Protokolls hängt von seiner Nutzung ab. Innerhalb eines Jahres seit der Veröffentlichung der ursprünglichen Spezifikation hat MCP fast zweitausend Server erreicht. Microsoft nutzt es zur Verbindung von GitHub, Azure und M365. AWS integriert es in Bedrock, und Google Cloud unterstützt es über Gemini.

Diese breite Akzeptanz reduziert die Abhängigkeit von einzelnen Anbietern. Ein für MCP entwickelter Postgres-Konnektor sollte theoretisch über Gemini, ChatGPT oder einen internen Anthropic-Agenten ohne Neuentwicklung funktionieren.

Die "Plumbing"-Phase der generativen KI stabilisiert sich, und offene Standards gewinnen in der Debatte über Konnektivität an Bedeutung. Technologieführer sollten interne APIs auf MCP-Bereitschaft prüfen, sich auf die Exposition statt auf Neuentwicklungen konzentrieren und sicherstellen, dass die neue URL-basierte Registrierung mit den aktuellen IAM-Frameworks kompatibel ist.

Unmittelbar müssen auch Überwachungsprotokolle etabliert werden. Obwohl die neueste MCP-Spezifikation abwärtskompatibel mit bestehender Infrastruktur ist, sind die neuen Funktionen der einzige Weg, um Agenten in regulierte, missionsrelevante Workflows zu integrieren und die Sicherheit zu gewährleisten.

Herausforderungen bei der Skalierung von MCP-Implementierungen

Die Implementierung von MCP in großem Maßstab bringt spezifische Herausforderungen mit sich, die über technische Aspekte hinausgehen und auch organisatorische Fragen betreffen. Dazu gehören der Mangel an Fachwissen, die Komplexität des Änderungsmanagements und unvorhersehbare Kosten.

Organisatorische Herausforderungen:

• Qualifikationslücke und Schulung: Für eine erfolgreiche MCP-Implementierung ist spezialisiertes Wissen über OAuth-Flows, JSON-RPC und KI-zentrierte Designmuster erforderlich.
• Change Management und Akzeptanz: Die Umstellung auf agentenvermittelten Tool-Zugriff bedeutet eine grundlegende Veränderung der Arbeitsweise der Mitarbeiter.
• Budget- und Kostenmanagement: KI- und MCP-Bereitstellungen können unvorhersehbare Kosten durch Modellnutzung verursachen, insbesondere bei Pay-per-Call-Diensten.

Technische Herausforderungen:

• Schnelle Entwicklung des Standards: Die rasche Weiterentwicklung der Spezifikation erschwert die Bewältigung neuer Bedrohungen und Kompatibilitätsprobleme.
• Multi-Tenant-Architektur: Obwohl MCP viele-zu-eins-Beziehungen zwischen Agenten und Tools unterstützt, erfordern spezifische MCP-Server unterschiedliche Bereitstellungsstrategien.

Diese Punkte zeigen, dass eine erfolgreiche MCP-Adoption nicht nur eine technische, sondern auch eine Governance-, Sichtbarkeits- und Identitätsproblematik darstellt.

Arten von MCP-Bereitstellungen

Es gibt drei Haupttypen von MCP-Bereitstellungen, die jeweils ihre eigenen Vor- und Nachteile sowie Skalierungsherausforderungen mit sich bringen:

• Remote-Bereitstellungen: Externe Hosting-Lösungen, die über HTTPS-Endpunkte zugänglich sind. Sie sind einfach zu verbinden und zu skalieren, können jedoch Einschränkungen bei der lokalen Dateizugriff und der Observability aufweisen.
• Managed-Bereitstellungen: MCP-Server werden in der eigenen Infrastruktur betrieben, oft containerisiert und orchestriert. Diese bieten ein Gleichgewicht aus Flexibilität und Kontrolle und sind ideal für Unternehmen, die hohe Anforderungen an Sicherheit, Governance und Skalierbarkeit stellen. Managed-Bereitstellungen können dediziert (jedem Nutzer/Agenten eine eigene Instanz) oder geteilt (mehrere Nutzer/Agenten teilen sich eine Instanz) sein.
• Workstation-Bereitstellungen: Server laufen lokal auf Entwicklergeräten, ideal für Experimente und Prototypen, die direkten Zugriff auf lokale Dateien oder Hardware erfordern. Sie sind jedoch logistisch und sicherheitstechnisch schwer zu skalieren.

In der Praxis nutzen die meisten Unternehmen ein hybrides Modell, das Remote-Server für SaaS-Integrationen, Managed-Server für interne Workloads und Workstation-Server für Entwickler-Experimente kombiniert. Die Herausforderung besteht darin, diese unterschiedlichen Bereitstellungstypen unter einheitlichen Authentifizierungs-, Observability- und Bereitstellungskontrollen zu verwalten.

Kernprobleme bei der Skalierung von MCP

Die Skalierung von MCP über eine Organisation hinweg offenbart fünf zentrale Hindernisse:

1. Identitätsmanagement: Fragmentiertes Identitätsmanagement ohne Single Sign-On (SSO) oder SCIM-Provisionierung führt zu verstreuten Tokens und mangelnder Sichtbarkeit. Eine konsistente Identitätsschicht ist notwendig, um Tool-Zugriffe realen Benutzeridentitäten zuzuordnen.
2. Team-Provisionierung: Unterschiedliche Teams benötigen unterschiedliche Server und Tools. Ohne Orchestrierung entsteht ein manueller und chaotischer Prozess. Eine teamorientierte Bereitstellung über ein MCP-Gateway mit einem internen Register genehmigter Server ist eine Best Practice.
3. Tool-Provisionierung: Übermäßig ausgestattete Agenten verbrauchen mehr Tokens, benötigen länger für die Entscheidungsfindung und liefern schlechtere Ergebnisse. Das Prinzip des "minimalen Umfangs" – die Bereitstellung nur der für eine Aufgabe notwendigen Tools – verbessert Leistung und Governance.
4. Shadow-MCP-Server: Nicht genehmigte oder unbekannte MCP-Server stellen ein unsichtbares Risiko dar, das zu Datenlecks oder unkontrollierten Änderungen führen kann. Ein internes MCP-Register ist entscheidend für die Aufrechterhaltung der Sichtbarkeit und die Durchsetzung von Standards.
5. Observability-Lücken: Unzureichende Protokollierung erschwert das Debuggen und die Reaktion auf Vorfälle. Enterprise-MCP-Bereitstellungen erfordern strukturierte Metadaten in ihren Protokollen, die Aufschluss darüber geben, wer was wann und warum getan hat.

Diese Herausforderungen verstärken sich mit zunehmender MCP-Nutzung. Ein einzelner MCP-Anschluss kann schnell zu einem Netz unüberwachter Systeme werden. Eine erfolgreiche Skalierung erfordert daher eine klare Identitätsschicht, Mechanismen zur Server-Bereitstellung und -Verwaltung sowie eine kontinuierliche Observability über alle Bereitstellungstypen hinweg.

MCP-Sicherheit und Observability: Das Fundament des Vertrauens

Auf kleiner Ebene funktionieren die meisten MCP-Bereitstellungen reibungslos. Mit zunehmender Skalierung über mehrere Teams und Dutzende von Servern hinweg wird der Mangel an integrierten Schutzmechanismen im Protokoll jedoch zu einem ernsthaften Problem. MCP verleiht KI-Agenten neue Fähigkeiten, wie das Abfragen von Datenbanken, das Abrufen von Datensätzen und das Ausführen von Aktionen in realen Systemen. Ohne die richtige Struktur können diese Fähigkeiten jedoch zu neuen Angriffsflächen werden.

Daher sind Sicherheit und Observability keine optionalen Zusatzfunktionen, sondern essenziell, um MCP sicher, zuverlässig und unternehmenstauglich zu machen.

Sicherheit beginnt mit Struktur

Die größten Risiken in MCP-Umgebungen resultieren selten aus externen Angriffen, sondern aus Fehlkonfigurationen und übermäßigem Vertrauen. Beispiele hierfür sind hartkodierte Tokens, die Speicherung von Anmeldeinformationen im Klartext oder die versehentliche Verbindung von Testinstanzen mit Produktionsdaten. Bei der Skalierung vervielfachen sich diese Abkürzungen und jede einzelne kann zu einem potenziellen Exploit werden.

Eine sichere MCP-Bereitstellung erfordert eine vorhersehbare Struktur:

• OAuth 2.1 für jede Verbindung: OAuth ist ein Sicherheitsmechanismus, der den Zugriff auf Ressourcen durch temporäre, eingeschränkte Tokens regelt, anstatt direkte Anmeldeinformationen zu verwenden. Dies reduziert das Risiko bei Verlust oder Diebstahl von Tokens.
• Umfassender und kurzlebiger Zugriff: Jedes Token sollte einer einzigen Identität zugeordnet sein und schnell ablaufen.
• Sandboxing: Tools, die Code ausführen oder mit Benutzereingaben interagieren, sollten in isolierten Umgebungen laufen.
• Prinzip der geringsten Privilegien: Jeder Agent und Server sollte nur Zugriff auf das absolut Notwendige haben.

Sicherheit bedeutet nicht, Innovation zu blockieren, sondern Prozesse wiederholbar und sicher zu gestalten.

Neue Angriffsflächen: Prompt Injection und Rug-Pulls

Mit der Verbreitung von MCP entstehen neue Angriffsklassen, die spezifisch für das Protokoll sind:

• Prompt Injection: Hierbei wird bösartiger oder manipulierter Text verwendet, um das Verhalten eines Agenten zu kapern. Dies kann durch das Einbetten schädlicher Anweisungen in Dokumente, Tool-Beschreibungen oder MCP-Antworten geschehen, wodurch der Agent dazu verleitet wird, unerwünschte Aktionen auszuführen oder sensible Daten preiszugeben.
• Rug-Pull-Angriffe: Bei dieser Art von Angriff wird der Server selbst bösartig, oft weil Benutzer fälschlicherweise davon ausgehen, dass Tools nach der Genehmigung ihre Funktionen nicht ändern können. Tools innerhalb eines Servers können jedoch ihre Beschreibungen ändern, es sei denn, es gibt Schutzmaßnahmen.

Prävention durch Richtlinien

Manuelle Wachsamkeit allein ist nicht ausreichend. Sicherheit muss automatisiert und richtlinienbasiert sein:

• Tool-Allowlists und Vorabprüfungen: Nur genehmigte MCPs und Funktionen dürfen Aktionen ausführen.
• Zentralisierte Genehmigungs-Workflows: Kein neuer MCP-Server wird ohne Genehmigung in das Netzwerk aufgenommen.
• Eingeschränkte Tokens und Sitzungsablauf: Begrenzt den potenziellen Schaden im Falle eines Fehlers.
• Kill-Switches und Notfall-Widerruf: Schnelle, globale Möglichkeit, kompromittierte Server oder Tokens zu deaktivieren.
• Kontinuierliche Überwachung: Alarme bei anomalen Mustern, wie ungewöhnlichem ausgehenden Datenverkehr oder plötzlichen Deskriptoränderungen.

Es geht darum, Risiken nicht nur zu erkennen, sondern sie von vornherein auszuschließen.

Observability ist Sicherheit

Die meisten Teams protokollieren Fehler, aber nur wenige protokollieren die Absicht. Echte Observability bedeutet zu wissen, wer was wann und warum getan hat.

Jede sichere MCP-Bereitstellung benötigt kontextuelle Metadaten, die eine vollständige Geschichte erzählen:

• Welcher Benutzer oder Agent die Anfrage ausgelöst hat.
• Welche Tools verwendet wurden.
• Welche Daten betroffen waren.
• Was das Ergebnis war.

Ohne diese Sichtbarkeit brechen Prävention und Erkennung zusammen. Observability bietet Frühwarnungen für Anomalien, Klarheit nach Vorfällen für Audits und Compliance sowie datengestützte Einblicke in das Verhalten von KI-Systemen in der Produktion.

Die Rolle der Gateway-Schicht

Sicherheit und Observability funktionieren am besten, wenn sie zentralisiert sind. Anstatt Authentifizierung, Protokollierung und Richtliniendurchsetzung für jeden MCP-Server neu zu erfinden, implementieren Unternehmen eine Gateway-Schicht zwischen Agenten und Servern. Ein MCP-Gateway kann Authentifizierung und Identität (SSO, SCIM, OAuth 2.1), Richtliniendurchsetzung (Token-Scoping, Allowlists, Genehmigungen), strukturierte MCP-Protokollierung und Audit-Trails, Überwachung und Anomalie-Erkennung sowie Governance für Server und deren Besitzer handhaben.

Dies bildet die Grundlage, auf der Unternehmen MCP vertrauensvoll bereitstellen können.

MCP-Bereitstellungen im großen Maßstab vereinfachen

Sobald eine Organisation die Bedeutung von Sicherheit und Observability verstanden hat, stellt sich die Frage, wie sich all dies über Dutzende von MCP-Servern und Teams hinweg verwalten lässt. Die Herausforderung besteht nicht nur darin, einen einzelnen MCP-Server korrekt bereitzustellen, sondern viele davon sicher, konsistent und ohne Verlust der Sichtbarkeit zu implementieren. Skalierbare MCP-Bereitstellung ist daher keine Frage der Einfachheit, sondern der Struktur.

Berücksichtigung aller drei Servertypen

Enterprise-MCP-Bereitstellungen nutzen selten nur eine Art von MCP-Bereitstellung. Ingenieure experimentieren möglicherweise mit Workstation-Servern, interne Systeme betreiben Managed-Server, und SaaS-Tools sind über Remote-Server verbunden – alles gleichzeitig. Um MCP zu skalieren, müssen Organisationen alle drei koordinieren. Dies bedeutet gemeinsame Governance, einheitliche Observability und konsistente Sicherheitsrichtlinien, unabhängig davon, wo sich der jeweilige Server befindet. Hier wird die Gateway-basierte Orchestrierung unerlässlich.

Governance und das interne Register

In den meisten Unternehmen treten die ersten Skalierungsprobleme durch "Shadow AI" auf, bei der nicht genehmigte oder unbekannte KI-Tools und MCP-Server ohne Genehmigung verwendet werden. Dies geschieht oft mit guten Absichten, um schneller voranzukommen. Ohne ein Governance-Modell fragmentieren solche Bereitstellungen jedoch die Sicherheitslage und machen Audits unmöglich.

Die Lösung ist die Einrichtung eines internen MCP-Registers. Ein solches Register erfüllt drei Funktionen:

1. Schafft eine einzige Quelle der Wahrheit: Jeder genehmigte Server ist sichtbar, versioniert und einem Besitzer zugeordnet.
2. Standardisiert Genehmigungs-Workflows: Kein neuer MCP wird ohne Genehmigung in die Umgebung aufgenommen.
3. Ermöglicht Kill-Switches und Lifecycle-Management: Veraltete oder kompromittierte Server können sofort deaktiviert werden.

Team-Provisionierung: Skalierung ohne Chaos

Mit zunehmender MCP-Nutzung benötigen Teams eigene Umgebungen. Ohne Orchestrierung führt dies jedoch zu einer unübersichtlichen Ansammlung von doppelten Konfigurationen und inkonsistenten Berechtigungen. Der beste Weg zur Skalierung ist die Provisionierung nach Team statt nach Einzelperson.

In der Praxis sieht die MCP-Team-Provisionierung wie folgt aus:

• Administratoren legen fest, welche MCP-Server zu welchen Gateways gehören.
• Teams erhalten diese Gateways vorkonfiguriert mit dem richtigen Satz von Tools.
• Entwickler und KI-Agenten verbinden sich sofort, ohne manuelle Einrichtung.

Dieses Modell ermöglicht es Teams, sich schnell innerhalb genehmigter Grenzen zu bewegen, reduziert den Overhead, eliminiert Spekulationen und stellt sicher, dass jede Umgebung beobachtbar und konform bleibt.

Tool-Provisionierung und Kostenkontrolle

Übermäßig ausgestattete Agenten stellen nicht nur Sicherheitsrisiken dar, sondern verursachen auch unnötige Kosten. Jedes unnötige Tool erhöht die Denkzeit, den Token-Verbrauch und die Wahrscheinlichkeit, dass ein Agent eine falsche Entscheidung trifft.

Durch die zentralisierte MCP-Tool-Provisionierung können Sie:

• Tools auf bestimmte Gateways und Anwendungsfälle beschränken.
• Verfolgen, welche Tools tatsächlich verwendet werden.
• Den Zugriff basierend auf realen Leistungsdaten optimieren.

Ein kleinerer, klar definierter Toolsatz führt zu schnelleren, kostengünstigeren und zuverlässigeren KI-Operationen und vereinfacht die MCP-Observability erheblich.

Fazit

Das Model Context Protocol ermöglicht es KI-Agenten, reale Aufgaben zu übernehmen. Der Sprung von einigen Entwicklern, die mit dem Protokoll experimentieren, zur unternehmensweiten Einführung von MCP-verbundenen Agenten gelingt jedoch nur, wenn die Bereitstellung auf drei Säulen basiert: Sicherheit, Observability und Governance.

Ohne dieses Fundament brechen MCP-Rollouts schnell zusammen, und Sicherheitslücken werden zu echten Haftungsrisiken. Sicherheitsvorfälle sind nicht immer nur Datenschutzverletzungen; manchmal sind es einfach blinde Flecken, die niemand kommen sah.

Organisationen, die heute mit MCP erfolgreich sind, haben eines gemeinsam: Sie behandeln es als Infrastruktur, nicht als Experiment. Sie planen für alle drei Bereitstellungstypen – Workstation, Managed und Remote – und verbinden sie über ein Gateway, das die Identität durchsetzt, jede Aktion protokolliert und sicher über Teams hinweg skaliert.

Dies verwandelt MCP von einem Entwicklerprotokoll in eine Unternehmensplattform. Die Gleichung ist einfach: Sicherheit + Observability = Skalierbarkeit. So wird MCP nicht nur zu einem Protokoll, sondern zum Rückgrat einer sicheren und nützlichen Unternehmens-KI.

Bibliographie

- Ryan Daws, "How the MCP spec update boosts security as infrastructure scales", Artificial Intelligence News, 27. November 2025. - AIShowcaseHub, "How the MCP spec update boosts security as infrastructure scales", AIShowcaseHub, 27. November 2025. - Über den Autor/die Autorin, "Cross App Access extends MCP to bring enterprise-grade security to AI agents", Okta Newsroom, 25. November 2025. - Steve Giguere, "What the New MCP Specification Means to You, and Your Agents", Lakera AI Blog, 20. November 2025. - Becky Brooks, "Secure MCP Server Deployment at Scale: The Complete Guide", MCP Manager Blog, 26. Oktober 2025. - Vineeth Sai Narajala, Idan Habler, "Enterprise-Grade Security for the Model Context Protocol (MCP): Frameworks and Mitigation Strategies", arXiv, 2. Mai 2025. - Jim Clark, "MCP Security: Risks, Challenges, and How to Mitigate", Docker Blog, 8. Oktober 2025. - Adam Jones, Conor Kelly, "Code execution with MCP: building more efficient AI agents", Anthropic Engineering Blog, 4. November 2025. - Tal Folkman, Ricardo Goncalves, "11 Emerging AI Security Risks with MCP (Model Context Protocol)", Checkmarx Zero Post, 25. November 2025.