5bats

So verhinderst Du, dass Dein MCP-Server oder Claude Desktop bösartige Inhalte fetcht

Claude Desktop kann für sich genommen nur sprechen. Richtig nützlich wird es erst, wenn Du einen MCP-Server anschließt – ein kleines Add-on, das der App neue Funktionen verleiht, wie zum Beispiel das Fetchen einer Webseite, das Lesen Deiner Dateien oder das Durchführen einer Suche. Du folgst einer Einrichtungsanleitung, fügst eine kleine Konfiguration ein, startest die App neu – und schon kann Claude loslegen und Dinge für Dich beschaffen. Es fühlt sich an wie das Installieren einer Browser-Erweiterung: ein paar Klicks, eine neue Superkraft.

Hier ist der Teil, den die Listen der „besten MCP-Server“ nie erwähnen. Ein MCP-Server läuft mit den Zugriffsrechten, die Du ihm gibst, und ein Fetch-Tool – also eines, das Webseiten in die Unterhaltung einbindet – ist genau die Art von Macht, die sich ein Angreifer zunutze machen will. Eine Seite kann versteckte Anweisungen enthalten, die das Modell in dem Moment kapern, in dem es sie liest. Und ein unachtsamer Fetcher lässt sich dazu überreden, Adressen in Deinem eigenen Netzwerk abzufragen, die niemals für die Außenwelt bestimmt waren. Die Bequemlichkeit von „Lass es einfach Claude fetchen“ verwandelt sich still und leise in „Lass die Webseite eines Fremden und einen Pfad zu meinem internen Netzwerk in den Raum“.

mcp-safe-fetch ist ein Fetch-Tool, das speziell für die sichere Nutzung entwickelt wurde. Es handelt sich um denselben Sanitizer wie safe-fetch , verpackt als MCP-Server für Claude Desktop: Jede Seite, die es fetcht, wird bereinigt und als untrusted data verpackt, bevor das Modell sie sieht, und es lässt sich nur auf echte, öffentliche Adressen verweisen.

Das Problem, ganz einfach ausgedrückt

Hinter dem Satz „Lass die App eine Seite fetchen“ verbergen sich zwei unterschiedliche Risiken, und ein typisches fetch-Tool guards vor keinem davon. Das erste ist indirekte prompt injection – versteckter Text auf der Seite, den das Modell als Befehl interpretiert (dasselbe Risiko, das safe-fetch ] in der Befehlszeile abdeckt). Das zweite ist SSRF, Server-Side Request Forgery: Ein Abruf-Tool, das auf Anfrage pflichtbewusst http://169.254.169.254/ oder die Admin-Seite Deines Routers aufruft und einem Außenstehenden so einen Einblick in das Geschehen hinter Deiner Firewall gewährt. Ein Fetch-Tool ist gerade deshalb so leistungsstark, weil es in Deinem Namen Verbindungen herstellt – und genau das macht ein ungeschütztes Tool so gefährlich.

Wem passiert das schon?

Leute, die Claude Desktop (oder einen anderen MCP-Client) als App und nicht als Terminal nutzen – genau die Zielgruppe, der gesagt wurde: „Fügt diese zehn MCP-Server hinzu, um euren Assistenten zu optimieren“, ohne dass erwähnt wurde, wozu man ein Fetch-Tool dazu bringen kann.

Was „mcp-safe-fetch“ macht – und wie es funktioniert

Es stellt über MCP zwei Tools bereit – fetch_url und search – und führt beide durch denselben Ablauf: Validieren → Fetch → Bereinigen → Einbinden.

Wie mcp-safe-fetch einen fetch für Claude Desktop säubertEine geladene Webseite wird durch mcp-safe-fetch geschickt, das versteckte Anweisungen entfernt, Anfragen an interne Adressen blockiert und das Ergebnis als untrusted data einpackt, bevor Claude Desktop es liest.Webseiteversteckte Anweisungenmcp-safe-fetchSanitize + SSRF-Guard,als untrusted data einpackenClaude Desktopliest Daten, keine Befehle
Die Seite wird von versteckten Tricks befreit, und der fetch lässt sich nicht auf Dein Netzwerk lenken — das Modell bekommt Daten, keine Befehle.

Derselbe Sanitizer, als MCP-Server

Jede abgerufene Seite wird von versteckten Injektionsvektoren befreit – unsichtbares Unicode, Skripte und Kommentare, Text außerhalb des Bildschirms und in derselben Farbe wie der Hintergrund, verschlüsselte payloads, gefälschte Modell-Trennzeichen, Markdown-Bild-Exfiltrationslinks –, auf eine sichere Größe begrenzt und in eine Hülle für nicht vertrauenswürdige Inhalte verpackt. Die Suche funktioniert genauso: Die Ergebnisse sind untrusted data und werden genau wie jede andere abgerufene Seite behandelt.

The SSRF guard

Das ist der Teil, der speziell für den Betrieb als Server gilt, auf den von einer leistungsstarken App aus zugegriffen werden kann. Vor dem Fetchen erlaubt mcp-safe-fetch nur http/https zu, lehnt reine IP-Literale ab, ermittelt den Host und speichert diese validierte öffentliche IP sowie überprüft jeden Umleitungsschritt erneut – so kann eine Umleitung die Anfrage nicht unbemerkt an eine interne Adresse weiterleiten.

Die Modellregel ist tragfähig

Die Wrapper-Tags sind für sich genommen wirkungslos; sie funktionieren nur, weil eine Regel dem Modell mitteilt, was sie bedeuten. Bei der Einrichtung wird eine Zeile zu Deinen Claude Desktop-Anweisungen hinzugefügt, die abgerufene Inhalte als externe Daten kennzeichnet, auf die das Modell niemals reagieren darf (die genaue Regel ist im Tool enthalten). Lässt Du diese Zeile weg, ist die Umschließung nur noch reine Dekoration – sie ist also Teil der Installation und kein nachträglicher Einfall.

Installiere es und nutze es

mcp-safe-fetch läuft unter macOS und benötigt Claude Desktop sowie Docker Desktop. Es wird wie jeder andere MCP-Server hinzugefügt – ein kleiner Eintrag in claude_desktop_config.json, der auf den Container verweist –, woraufhin Du Claude Desktop neu startest und die Modellregel hinzufügst. Eine Schritt-für-Schritt-Anleitung (für Docker- und MCP-Neulinge) ist im repo enthalten:

docker pull ghcr.io/sharkyger/mcp-safe-fetch:latest

Befolge dann die Installationsanleitung, um es zu registrieren und die „untrusted data“-Regel hinzuzufügen. Die vollständige Konfiguration und der Quellcode sind auf GitHub zu finden: github.com/sharkyger/mcp-safe-fetch (MIT).

FAQ

Sind Claude Desktop MCP-Server sicher?

Ein MCP-Server läuft mit den Zugriffsrechten, die Du ihm gewährst, und ein Fetch-Tool kann bösartige Webinhalte abrufen oder auf Dein privates Netzwerk zugreifen. mcp-safe-fetch ist ein Fetch-Tool, das auf Sicherheit ausgelegt ist: Es bereinigt jede Seite und weigert sich, interne Adressen aufzulösen.

Wozu dient der SSRF-Guard?

Server-Side Request Forgery – dabei wird ein Fetcher dazu gebracht, eine interne Adresse wie Deinen Router oder einen Cloud-Metadaten-Endpunkt abzufragen. mcp-safe-fetch lehnt IP-Literale ab, speichert die aufgelöste öffentliche IP und überprüft jede Weiterleitung erneut, sodass ein Fetch nicht auf Dienste hinter Deiner Firewall umgeleitet werden kann.

Brauche ich den Claude Code, oder funktioniert das auch mit der Claude Desktop-App?

Das gilt für die Claude Desktop-App (und andere MCP-Clients). Wenn Du in Claude Code über die Befehlszeile arbeitest, ist das Schwesterprogramm safe-fetch genau das Richtige für Dich – gleicher Sanitizer, anderer Speicherort.

mcp-safe-fetch ist eines der 5bats KI-Agent-Sicherheit -Tools. In der Befehlszeile erfüllt safe-fetch dieselbe Aufgabe für Claude Code; um zu verhindern, dass abgerufener Text oder Text von Sub-Agenten innerhalb von Claude Code als Anweisungen ausgeführt wird, schau Dir claude-code-prompt-injection-gate an.

Siehe die macOS-Installationsanleitung und den Quellcode auf GitHub →

Ratgeber

Vergleich

© 2026 | 5bats
Keine Cookies. Kein Tracking. Keine externen Aufrufe.