Als das eigentlich für die Claude-LLMs bekannte KI-Unternehmen im November 2024 das Model Context Protocol (MCP) vorstellte, war das „Agentic Web“, von dem später alle reden sollten, noch eine schwer greifbare Sache. Gerüchte zu OpenAIs „Operator“ (heute der Agent-Modus) kamen gerade erst auf, Meta AI war noch nicht mal in der EU verfügbar, und in eben dieser fragte man sich gerade, was man sich eigentlich mit dem AI Act angetan hatte.

Anthropic allerdings preschte mit dem MCP vor und schenkte der Software-Welt ein offenes Protokoll, das eine nahtlose Integration zwischen LLM-Anwendungen und externen Datenquellen und Tools ermöglicht. Spezifikationen und SDKs sind seither frei zugänglich, genauso wie die Repositories für MCP-Server.

KI-Modelle mit Datenquellen und Tools verbinden

„MCP ist ein offenes Protokoll, das standardisiert, wie Anwendungen Kontext für große Sprachmodelle (LLMs) bereitstellen. Stellen Sie sich MCP wie einen USB-C-Anschluss für KI-Anwendungen vor. So wie USB-C eine standardisierte Möglichkeit bietet, Ihre Geräte mit verschiedenen Peripheriegeräten und Zubehör zu verbinden, bietet MCP eine standardisierte Möglichkeit, KI-Modelle mit verschiedenen Datenquellen und Tools zu verbinden. MCP ermöglicht es Ihnen, Agenten und komplexe Workflows auf LLMs aufzubauen und Ihre Modelle mit der Welt zu verbinden“, beschrieb man bei Anthropic zum Launch von MCP die Sache.

Seither sind zahlreiche Unternehmen auf MCP aufgesprungen, darunter Block, Apollo, Zed, Replit, Windsurf (ehemals Codeium), Microsoft, OpenAI, Amazon oder Google – also im Prinzip fast die gesamte KI-Welt und darüber hinaus. Auch in Österreich fasst MCP Fuß, unter anderem beim Wiener AI-Startup newsrooms.ai. Hier geht es darum, LLMs mit der Außenwelt zu verbinden – also etwa mit Social-Media-Plattformen, CMS oder Newsletter-Systemen.

„Ich sehe vor allem den Vorteil im Agentic Web“

„MCP ist ein Protokoll für KI-Systeme. Ähnlich wie deine Bluetooth-Kopfhörer mit deinem Handy „sprechen“, sprechen bei MCP KI-Systeme mit einander und interagieren mit Extra-Tools, was alles noch mächtiger macht“, so newsrooms.ai-CTO Matteo Rosoli. „Die Vorteile sind natürlich riesig. Ich sehe vor allem den Vorteil im Agentic Web, wenn jemand z.B. seinen KI-Assistenten bittet, einen Newsletter zu verfassen, oder einen Post auf LinkedIn zu schreiben. Durch MCP kann der KI-Assistent dann auf unsere qualititative Sprache zugreifen, dem User den perfekten LinkedIn Post von newsrooms.ai schicken und den auch über newsrooms.ai auf LinkedIn posten.“

MCP ist bei AI-Entwicklern mittlerweile schwer gefragt. Scott Werner, der Gründer und CEO des KI-Startups Sublayer etwa sieht in MCP gar ein „Universal Plugin System“, das nicht bloß für AI-Systeme, sondern ganz generell ein Protokoll, dass Daten miteinander verbinden kann – so wie heute Zigarettenanzünder kaum mehr für den eigentlichen Zweck verwendet werden, aber millionen- oder gar milliardenfach fürs Aufladen von Smartphones.

„Jedes großartige Protokoll wird für etwas verwendet, das sich seine Schöpfer nie vorstellen konnten: HTTP war für akademische Arbeiten gedacht. Jetzt dient es der Zivilisation. Bluetooth war für Freisprechanlagen gedacht. Jetzt entriegelt es Ihre Haustür. USB war für Tastaturen und Mäuse gedacht. Jetzt lädt es Ihren tragbaren Ventilator zur emotionalen Unterstützung auf“, schreibt Werner. „MCP glaubt, dass es dazu dient, KI-Modellen einen Kontext zu geben. Aber wirklich? Es ist einfach ein sehr gutes Protokoll, um Dinge mit anderen Dingen kommunizieren zu lassen.“

MCP hat aber nicht nur Fans. Ajeet Singh Raina von Docker wies kürzlich auf Sicherheitslücken bei MCP hin.Es gebe Probleme mit OAuth, Command Injection und Code Execution, unbegrenzten Netzwerkzugriff, und einigen weiteren Punkten. „Sicherheit ist nie einfach, aber sie muss immer und steht bei uns immer im Mittelpunkt. Die Sicherheitsbedenken, die Docker bei MCP aufdeckt, sind meistens schon vorhandene Sicherheitslücken oder Vulnerabilities“ so Rossoli. „Wenn man mit Security by Design arbeitet, sehe ich bei MCP keine größeren Sicherheitsbedenken, als überall in der Softwareentwicklung auch. Neue Technologien bringen immer viele Möglichkeiten und damit verbundene Sicherheitsrisiken. Wir müssen nur bewusst damit umgehen.“

„Diese Modelle kennen das öffentliche Internet, aber MCP gibt ihnen Wissen über das private Internet“

Bei Figma, zuletzt sehr erfolgreich an der Börse gestartet, schwört man mittlerweile auf MCP. Entwickler, die Figma nutzen, können via MCP-Server ihre Figma-Daten mit Cursor verbinden, um den Kontext des Designs in Cursor zu bringen. „Das ergänzt sich perfekt: Cursor kennt den Code in Ihrer Codebasis, weiß aber nichts über Ihre Designsprache. Es weiß, was Sie vorher gebaut haben, aber nicht, was Sie als nächstes bauen wollen – das steht in Figma“, erklärt Emil Sjölander, Director of Engineering bei Figma, den Prozess. „Mit MCP verbinden wir das, was Sie bauen wollen, mit dem, was Sie bereits gebaut haben. So arbeiten Figma und Tools wie Cursor wirklich als Ergänzung zusammen.“

MCP, so Sjörlander, sei ein Weg, AI-Modellen von Anthropic oder OpenAI, die zwar wissen, wie man generell Code schreibt, spezifisches Design-Informationen aus der Figma-Welt zugänglich zu machen. „Diese Modelle kennen das öffentliche Internet, aber MCP gibt ihnen Wissen über das private Internet“, so der Figma-Entwickler.

Abzuwarten bleibt, wie und vor allem in welchen bereichen sich MCP weiter durchsetzen wird – die Ideen der Developer sind reichhaltig. Rosoli: „Wie es sich weiterentwickeln wird, ist fast eine philosophische Frage. Weiterentwickeln kann es sich aber auf eine komplett neue Ebene des Umgangs mit Computersystemen, sodass wir wahrscheinlich nie wieder mit schlechten Websites, UIs oder nervigen Eingabe-Formen konfrontiert sein werden. Unsere KI-Systeme suchen sich dann selbst die passenden Tools und Verknüpfungen, ohne dass wir selbst unsere Finger rühren müssen. Und newsrooms ist da ganz vorne dabei.“