FutrixData logo FutrixData
MCP-Datenbanksicherheit

MCP-Datenbanksicherheit — Model-Context-Protocol-DB-Server umhüllen

MCP-Datenbankserver geben KI-Agenten direkten Datenbankzugriff — und die meisten kommen ohne Maskierung, RBAC oder Audit. FutrixData umhüllt Ihren MCP-Datenbankzugriff mit Maskierung auf dem Agenten-Ergebnispfad, Query-Guardrails, Identität pro Agent und einem lokalen, hash-verketteten Audit-Log (mit eingebautem audit-verify-CLI) — ohne zu ändern, wie Claude Code, Cursor oder Codex sich verbinden. Nur lokale Verifikation; die Trust- und Limitations-Seiten dokumentieren den vollen Umfang.

Was ist MCP — und worin liegt das Risiko?

Das Model Context Protocol (MCP) ist ein offener Standard, mit dem KI-Agenten externe Tools — auch Datenbanken — entdecken und aufrufen. Es gibt Referenz-MCP-Server für Postgres, MySQL, MongoDB und andere. Sie machen Agenten-Integration einfach. Und sie geben in der Regel jedem verbundenen Agenten dieselben Datenbankrechte — ohne Identität pro Agent, ohne Maskierung auf Feldebene, ohne zentralen Audit-Trail.

Wenn Ihre einzige Datenbank-Grenze „der MCP-Server liegt auf einem privaten Port“ ist, haben Sie einen Perimeter — keine Policy.

Fünf Lücken in nackten MCP-Datenbankservern

  1. Geteilte Credentials. Jeder mit dem MCP-Server verbundene Agent nutzt denselben DB-Benutzer.
  2. Unbeschränktes SQL. Keine statischen Regeln, kein vorgelagerte EXPLAIN-Probe — die Query des Agenten geht durch.
  3. Keine PII-Maskierung. Rohe Zeilen landen im Agenten-Kontext und fließen weiter zum LLM-Anbieter.
  4. Keine Identität pro Agent. Wenn etwas schiefgeht, kann man nicht beantworten „welcher Agent hat das gemacht“.
  5. Kein Audit-Log. Oder nur stdout — nicht aufbewahrt, nicht abfragbar, nicht exportierbar.

Wie FutrixData MCP umhüllt

FutrixData spricht MCP als einen von mehreren Eintrittspunkten (neben Skill, HTTP und CLI). Aus Sicht von Claude Code oder Cursor sieht es wie ein MCP-Server mit den Standard-Tools (list_data_sources, execute_query usw.) aus. Intern durchläuft jeder Aufruf:

  1. Validierung des agentenspezifischen Schlüssels.
  2. Statement-Parsing nach Datenquellentyp.
  3. Statische Regel + vorgelagertes EXPLAIN.
  4. Trust-Modus-Abgleich.
  5. Datenbank-Ausführung.
  6. Maskierung auf Feldebene am Egress.
  7. Audit-Eintragserstellung.

Die Tool-Oberfläche des Agenten ist gleich. Das Verhalten — und die Zusicherung, die Sie einem Security-Team geben können — ist es nicht.

Claude Code, Cursor, Codex via MCP verbinden

Die Konfiguration ist wie bei jedem MCP-Server: ein JSON-Eintrag in der MCP-Config des Agenten, der auf die FutrixData-Binary oder den HTTP-Endpunkt der Enterprise Edition zeigt — plus ein agentenspezifischer Access-Key pro Agent. Jede Installation bekommt einen eigenen Key, damit Widerruf präzise ist.

Beispiele

Claude-Code-MCP-Config
{
  "mcpServers": {
    "futrixdata": {
      "command": "futrixdata",
      "args": ["mcp"],
      "env": {
        "FUTRIXDATA_AGENT_KEY": "fxd_live_..."
      }
    }
  }
}
Enterprise Edition über HTTP
{
  "mcpServers": {
    "futrixdata": {
      "url": "https://futrixdata.internal.example.com/mcp",
      "headers": { "Authorization": "Bearer fxd_live_..." }
    }
  }
}

Häufig gestellte Fragen

Was ist MCP?

Das Model Context Protocol — ein offener Standard, um KI-Agenten mit externen Tools zu verbinden. Anthropic hat Referenzserver für mehrere Datenbanken veröffentlicht. MCP definiert das Wire-Protokoll, nicht das Sicherheitsmodell.

Ist FutrixData ein MCP-Server?

FutrixData spricht MCP als einen Eintrittspunkt. Es ist auch via Skill, HTTP und CLI erreichbar — alle teilen sich dieselbe Risk-Engine und Audit-Pipeline. Aus Agentensicht sieht und verhält es sich wie ein MCP-Server.

Was ist mit Anthropics Referenz-MCP-Servern?

Sie sind großartig zum Einsteigen und riskant als langfristige Produktionshaltung. Sie haben keine Identität pro Agent, keine Feldebene-Maskierung, keine Risk-Engine und nur minimales Audit. FutrixData stellen Sie davor (oder ersetzen sie damit), sobald eine echte Produktionsdatenbank im Spiel ist.

Funktioniert es mit Nicht-Anthropic-Agenten?

Ja. Jeder MCP-konforme Client verbindet sich (Cursor, Codex, Windsurf, OpenCode, eigene). Für Agenten, die kein MCP sprechen, decken die Skill- und HTTP-Eintrittspunkte alles andere ab.

Kann ich sowohl MCP als auch HTTP/CLI nutzen?

Ja — sie sind Eintrittspunkte zum selben Gateway. Eine Organisation nutzt typischerweise MCP für IDE-seitige Agenten (Claude Code, Cursor) und HTTP für Backend-Automatisierung, mit einem Audit-Log, das beides abdeckt.

Probieren Sie FutrixData mit Ihrer eigenen Datenbank aus

Kostenlose Desktop-App für macOS, Windows und Linux. Self-hosted Enterprise Edition für produktive Deployments.