OWASP MCP Top 10 entsteht; mcp-audit Scanner auf der RSA 2026 gelauncht

Die OWASP MCP Top 10 etabliert sich als gemeinsame Sicherheitstaxonomie für MCP-Risiken. Adam Dudley hat auf der RSA 2026 mcp-audit veröffentlicht — einen Apache-2.0-Offline-First-CLI-Scanner, der 8 MCP-Clients und 37 SAST-Regeln abdeckt.

OWASP MCP Top 10 entsteht; mcp-audit Scanner auf der RSA 2026 präsentiert

Adam Dudley hat mcp-audit auf der RSA Conference 2026 veröffentlicht — einen Apache-2.0-Offline-First-CLI-Sicherheitsscanner, der Befunde der entstehenden OWASP-MCP-Top-10-Taxonomie zuordnet. Das Tool deckt 8 MCP-Clients, serverübergreifende Angriffspfade, 37 SAST-Regeln für Python und TypeScript sowie Supply-Chain-Prüfungen ab. Das Offline-First-Designprinzip — „Ihre Konfiguration verlässt das Gerät nie" — adressiert direkt die Paradoxie cloudbasierter Sicherheitstools. Der Scanner lässt sich in CI-Pipelines, Pre-Commit-Hooks und SARIF-Output integrieren.

Einordnung

MCP-Server-Adoption befindet sich im npm-Paket-Adoption-Fenster — explosives Wachstum, unreifes Tooling, kein Konsens über „sicher". Die OWASP-MCP-Top-10-Taxonomie plus ein kostenloser Scanner verschaffen dem Ökosystem sein erstes standardisiertes Sicherheitsvokabular — analog zum Muster, das vor einem Jahrzehnt die Web-Application-Sicherheit definierte.