Automatisierung neu gedacht: Wie MCP und KI-Agenten die Fähigkeiten von LLMs erweitern

AI Generierter Podcast zu diesem Blogpost:

Stell dir vor, du hast Zugang zu einem der leistungsstärksten KI-Modelle der Welt, aber es kann nicht auf deine E-Mails, Unternehmensdaten oder das Internet zugreifen. Genau dieser Herausforderung begegnen wir bei der Nutzung von Large Language Models (LLMs) täglich. Ohne Anbindung an die Tools, die wir täglich benötigen, liefern LLMs oft falsche oder veraltete Antworten. Nutzern bleibt dann die mühsame Aufgabe, alle nötigen Informationen selbst zu beschaffen und dem LLM bereitzustellen.

In meinem letzten Beitrag Die Revolution der Large Language Models: Chancen und Herausforderungen haben wir die Grundlagen von LLMs erkundet. Heute zeige ich, wie das Model Context Protocol (MCP) diese Modelle mit dem Agentenansatz erweitert, sodass eine nahtlose Interaktion mit unserer digitalen (und physischen) Welt möglich wird.

MCP funktioniert dabei wie ein «USB-C-Anschluss für KI» – ein universeller Standard, der die komplexe Integration zwischen KI-Modellen und externen Systemen über sogenannte MCP-Server (oft als KI-Agenten realisiert) vereinfacht.

Als Beispiel fragt ein Produktmanager seinen LLM-Chatbot: «Wie entwickelten sich unsere Verkaufszahlen im letzten Quartal?»
Ohne MCP: keine Antwort möglich.
Mit MCP: Das LLM greift über einen Agenten (MCP-Server) auf die Datenbank zu, führt Analysen durch und liefert fundierte Erkenntnisse samt Visualisierungen.

Was ist das Model Context Protocol (MCP)?

Das Model Context Protocol (MCP) ist ein offener Standard, der definiert, wie Anwendungen Kontext und Funktionalitäten für LLMs bereitstellen können. Ähnlich wie USB-C eine standardisierte Schnittstelle zwischen Geräten ermöglicht, bietet MCP eine standardisierte Verbindung, um KI-Modelle mit verschiedenen Datenquellen und Tools zu verbinden.

MCP wurde ursprünglich von Anthropic, der Firma hinter Claude, entwickelt und hat sich seitdem als wichtiger Standard für die Integration von LLMs mit externen Systemen etabliert. Seit seiner Einführung Ende 2024 hat MCP schnell Akzeptanz gefunden und wird inzwischen von zahlreichen renommierten KI-Systemen und Entwickler-Tools unterstützt.

MCP folgt einer Client-Server-Architektur: Clients sind Komponenten, die häufig in anderen Anwendungen eingebettet sind. Beispielsweise verfügt Claude Desktop über einen eingebetteten MCP-Client. MCP-Server wiederum sind Programme, die spezifische Fähigkeiten innerhalb der Kernfunktionen des Protokolls bereitstellen. Das Protokoll definiert Kernfunktionen wie Resources (Ressourcen zur Datenbereitstellung), Tools (ausführbare Funktionen), Prompts (Vorlagen) und Sampling (Modellanfragen).

Hinweis: Kurzer technischer Exkurs
MCP-Nachrichten werden standardisiert über JSON-RPC 2.0 übertragen. Die Kommunikation kann über verschiedene Transportprotokolle erfolgen. Offiziell unterstützt MCP lokale STDIO-Streams sowie HTTP mit Server-Sent Events (SSE) für Streaming. MCP-Server können somit entweder als lokaler Prozess angebunden oder über HTTP(S) remote genutzt werden. MCP lässt sich auch mit einem eigenen Transportprotokoll erweitern und stellt dafür eine Schnittstellendefinition bereit.

Was sind KI-Agenten als MCP-Server?

Der Einstieg gelingt am einfachsten über das Beispiel vom Anfang: Dort hat das LLM schliesslich auf die Datenbank zugegriffen, Analysen durchgeführt und fundierte Erkenntnisse samt Visualisierungen geliefert. Im Hintergrund rief das LLM dafür (KI-)Agenten (als MCP-Server) auf, die diese Daten bereitstellten und statistische Auswertungen vornahmen.

Agenten sind also autonome Einheiten, die eine spezifische Aufgabe erfüllen können. Wichtig ist: Nicht jeder Agent muss KI-Technologien enthalten – viele fungieren als einfache Schnittstellen zu bestehenden Diensten. Ein API-Wrapper kann LLMs mit Wetterdiensten verbinden, während ein Datenbankadapter strukturierten Datenzugriff ermöglicht. Dateisystem-Anbindungen bieten sicheren Zugriff auf lokale oder in der Cloud gespeicherte Dateien, während komplexere, KI-gestützte Agenten Bildverarbeitung oder Analysen durchführen können.

Als MCP-Server können diese Agenten Informationen strukturiert bereitstellen, Aktionen im Namen des LLMs ausführen und standardisierte Arbeitsabläufe definieren – alles über eine einheitliche Schnittstelle.

Während es auch zahlreiche MCP-Clients gibt (wie Claude Desktop, OpenAI Agents SDK, Microsoft Copilot Studio), liegt die eigentliche Innovation in der Entwicklung vielseitiger MCP-Server. Durch MCP-Server können Unternehmen und Entwickler ihre eigenen Tools, Datenquellen und Wissenssammlungen an bestehende Chatbots und KI-Assistenten anbinden. So kann beispielsweise eine interne Confluence-Seite mit Microsoft Copilot verbunden werden, wodurch der Chatbot auf unternehmensspezifisches Wissen zugreifen kann, ohne dass dafür eine komplexe, proprietäre Integration notwendig ist.

Technologien hinter Agenten als MCP-Server

Die Funktionalität von Agenten reicht von einfachen API-Aufrufen bis hin zu komplexen KI-Systemen. Viele Agenten führen grundlegende Operationen durch, wie das Abrufen von Informationen aus APIs oder Datenbanken, ohne KI-Komponenten zu benötigen. Sie transformieren lediglich Daten und stellen sie über das MCP-Protokoll bereit.

Komplexere Agenten können Technologien wie Sprachmodelle, neuronale Netze oder maschinelles Lernen einsetzen. Ein Bilderkennungs-Agent könnte Überwachungskameras nutzen, während ein Finanzanalyse-Agent Reinforcement Learning einsetzen könnte. Ein anderes Beispiel wäre ein Agent zur Produktempfehlung: Er könnte Nutzeranfragen mittels eines LLMs verstehen und dann ein spezialisiertes Machine-Learning-Modell aufrufen, um personalisierte Vorschläge zu generieren, die er über MCP strukturiert zurückmeldet. Unabhängig von ihrer internen Komplexität kommunizieren alle Agenten als MCP-Server über die standardisierten MCP-Transportmechanismen.

Anwendungsbeispiele von Agenten als MCP-Server

Intelligente Haushaltsgeräte

MCP-Server für Smart Home ermöglichen LLMs die Interaktion mit Geräten wie dem Nest-Thermostat durch standardisierte Schnittstellen. Wenn ein Nutzer Claude bittet, die Temperatur zu senken, ruft das LLM den entsprechenden Tool-Befehl des MCP-Servers auf, der wiederum mit dem Thermostat kommuniziert. Der Server benötigt dafür keine komplexe KI, sondern lediglich die Fähigkeit, die API des Thermostats anzusprechen.

Finanzwesen und Datenanalyse

Im Finanzwesen kann ein MCP-Server einfache Datenbankabfragen zu Portfolioinformationen bereitstellen oder komplexere Analysen mithilfe spezialisierter Algorithmen durchführen. Beispielsweise könnte ein Nutzer das LLM nach der aktuellen Portfolio-Performance fragen. Das LLM würde daraufhin das entsprechende Tool des Finanz-MCP-Servers aufrufen. Dieser Server führt eine gesicherte Datenbankabfrage durch, bereitet die Performance-Daten strukturiert auf und sendet sie an das LLM zurück, das das Ergebnis dann verständlich für den Nutzer zusammenfasst. Das LLM muss die finanzmathematischen Berechnungen nicht selbst durchführen, sondern kann diese Aufgabe an den spezialisierten Server delegieren und die Ergebnisse interpretieren.

MCP als Effizienz-booster: Kleine Modelle, grosse Wirkung

Ein oft übersehener Vorteil des Model Context Protocol liegt in seinem Potenzial, KI-Systeme effizienter zu gestalten. Traditionell besteht die Tendenz, immer grössere und leistungsfähigere Sprachmodelle einzusetzen – mit entsprechend höherem Rechenaufwand, Energieverbrauch und Kosten. MCP bietet hier einen alternativen Ansatz, der diese Ressourcenintensität erheblich reduzieren kann.

Stellen wir uns ein modulares KI-System vor: An der Benutzeroberfläche steht ein vergleichsweise kleines Sprachmodell, das primär für die Sprachverarbeitung und das Verständnis der Nutzerintention optimiert ist. Dieses «Frontend-Modell» muss nicht alle Fachkenntnisse selbst besitzen, sondern dient als intelligenter Vermittler. Seine Hauptaufgabe besteht darin, Anfragen zu verstehen und an spezialisierte MCP-Server weiterzuleiten.

Durch MCP können wir für verschiedene Domänen oder Aufgaben unterschiedliche, hoch spezialisierte Agenten bereitstellen. Ein einfaches Beispiel: Statt ein grosses 400b-Modell (400 Milliarden Parameter) zu nutzen, das sowohl Programmiersprachen als auch Finanzanalyse und medizinisches Wissen abdecken muss, könnten wir ein kompaktes 3b-Modell für die Sprachverarbeitung einsetzen und dieses mit spezialisierten Agenten verbinden: einem für Code-Generierung, einem für Finanzanalysen und einem für medizinische Recherchen.

Der entscheidende Vorteil: Diese spezialisierten Agenten müssen nicht zwingend selbst grosse KI-Modelle sein. Oft reichen einfache, regelbasierte Systeme, API-Wrapper oder domänenspezifische Algorithmen aus. Für Code-Generierung könnte ein spezialisiertes, kleines Code-LLM effizienter sein als ein generalistisches Grossmodell. Für Finanzanalysen könnten traditionelle statistische Modelle präzisere Ergebnisse liefern.

Nur wenn eine Anfrage tatsächlich die Fähigkeiten eines grossen Modells erfordert, kann das System gezielt auf solche zurückgreifen – etwa durch einen dedizierten «Large Model Agent», der ressourcenintensive Anfragen bearbeitet. Diese bedarfsgesteuerte Skalierung spart erhebliche Ressourcen, da das grosse Modell nur aktiviert wird, wenn es wirklich benötigt wird.

Die Ressourceneinsparung ist beachtlich: Erste Implementierungen zeigen, dass durch diesen modularen Ansatz der Rechenaufwand um bis zu 75 % reduziert werden kann – bei gleichbleibender oder sogar verbesserter Nutzererfahrung. Das Frontsystem kann schnell reagieren, während komplexere Berechnungen asynchron im Hintergrund erfolgen können.

Besonders für Unternehmen mit begrenzten Ressourcen eröffnet dieser Ansatz neue Möglichkeiten. Statt in teure Infrastruktur für grosse Modelle zu investieren, können sie mit kostengünstigeren, kleineren Modellen arbeiten und diese durch clever designte MCP-Server ergänzen. Dies vereinfacht den Einstieg in fortschrittliche KI-Anwendungen und reduziert gleichzeitig den ökologischen Fussabdruck dieser Technologien.

Integration in bekannte Plattformen

Mittlerweile haben zahlreiche bekannte Plattformen MCP implementiert:

• Anthropic Claude (Desktop & Code): Als Mitinitiator integriert Anthropic MCP nativ in Claude Desktop. Die Desktop-App unterstützt vollständig MCP-Resources, -Prompts und -Tools und kann lokale MCP-Server für Dateien, Terminal-Befehle etc. anbinden. Claude Code (eine agentenbasierte IDE) kann ebenfalls über MCP Tools nutzen und sich selbst als MCP-Server anbieten.
• OpenAI Agents SDK: OpenAI hat MCP-Unterstützung in das neue Agents-Framework aufgenommen. Entwickler können ihren Agenten damit externe Tools via MCP bereitstellen.
• Microsoft-Plattformen: Das AutoGen-Framework (für Multi-Agenten-Interaktionen) bietet einen MCP-Adapter. Zudem hat Microsoft im März 2025 Copilot Studio mit MCP-Support erweitert. Dort können Entwickler per Mausklick vorgefertigte MCP-Connectoren hinzufügen – etwa um eine Wissensdatenbank-Server oder API-Anbindung bereitzustellen.
• LangChain und Entwickler-Frameworks: In der Open-Source-Community wurde MCP schnell aufgegriffen. LangChain bietet Adapter für MCP, sodass LangChain-Agenten auf MCP-Server-Tools zugreifen können.

Sicherheitsaspekte und Risiken

Trotz seiner Stärken ist MCP nicht von Haus aus sicher. Jüngste Analysen haben mehrere Schwachstellen aufgezeigt:

1. Command-Injection in Servern: Viele MCP-Server, oft in Skriptsprachen implementiert, rufen intern Systemkommandos auf. Laut einer Untersuchung von equixly enthielten über 43 % der geprüften MCP-Server unsichere Shell-Aufrufe, die durch manipulierte Eingaben ausgenutzt werden konnten.
2. Tool-Poisoning (versteckte Prompt-Injektion): Angreifer können MCP-Server mit Tool-Beschreibungen registrieren, die versteckte Anweisungen (Prompt Injections) enthalten. Diese sind für den Nutzer unsichtbar, werden aber vom KI-Modell interpretiert und können es so manipulieren.
3. «Rug Pull» – Veränderung von Tools nach der Registrierung: Da MCP-Clients einmal geladene Tools oft weiterverwenden, besteht das Risiko, dass ein Server ein anfänglich harmloses Tool später durch eine bösartige Variante ersetzt oder dessen Verhalten ändert.
4. Cross-Server-Angriffe: Wenn ein Agent mit mehreren MCP-Servern verbunden ist, kann ein böswilliger Server sich als einer der anderen ausgeben oder dessen Aufrufe abfangen.
5. Fehlende integrierte Sicherheitsmechanismen: MCP spezifiziert standardmässig weder Authentifizierung noch Verschlüsselung auf Protokollebene. Es fehlen auch Signaturen zur Verifizierung der Integrität oder Herkunft von Tools.

Um diese Risiken zu minimieren, sollten Server nur aus vertrauenswürdigen Quellen bezogen und mit minimalen Berechtigungen betrieben werden. Kritische Aktionen erfordern idealerweise menschliche Bestätigung. Zudem sollten Server in isolierten Umgebungen (Sandboxen) ausgeführt und sensible Daten stets verschlüsselt werden. Werden diese Massnahmen beachtet, sind die Risiken beherrschbar und schmälern nicht den enormen potenziellen Nutzen dieser Technologie.

Entwickler sind angehalten, strikte Eingabevalidierung und Output-Sanitization in ihren MCP-Servern umzusetzen. Tool-Beschreibungen sollten gefiltert oder auf Benutzerseite sichtbar gemacht werden, um versteckte Instruktionen aufzudecken. Plattformen, die MCP integrieren, arbeiten an Verbesserungen wie Integritätsprüfungen, Versions-Pinning und der Möglichkeit, Updates von Tools zu signieren.

Googles Ergänzung: Das Agent-to-Agent (A2A) Protokoll

Das Agent-to-Agent Protokoll (A2A), im April 2025 von Google vorgestellt, ist ein offener Standard für die direkte Kommunikation zwischen KI-Agenten. Anders als MCP, das primär die Kommunikation zwischen einem LLM (Client) und seinen Tools (Servern) standardisiert, konzentriert sich A2A auf den Austausch zwischen autonomen KI-Agenten, die potenziell von verschiedenen Anbietern stammen.

Das Protokoll definiert standardisierte Schnittstellen für Agenten, um Fähigkeiten zu veröffentlichen, Anfragen zu stellen, Aufgaben zu delegieren und Ergebnisse auszutauschen – alles in einem strukturierten, maschinenlesbaren Format, das gleichzeitig für Menschen verständlich bleibt.

A2A: Die nächste Evolutionsstufe der Modularität

Während MCP Agenten befähigt, mit verschiedenen Systemen und Tools zu interagieren, stellt das A2A-Protokoll von Google den nächsten evolutionären Schritt dar. A2A adressiert eine zentrale Herausforderung in der KI-Landschaft: die nahtlose Kommunikation zwischen verschiedenen KI-Agenten unterschiedlicher Anbieter.

A2A und MCP: Eine potenzielle Symbiose

A2A und MCP stehen nicht in Konkurrenz zueinander, sondern ergänzen sich. Während MCP die vertikale Integration eines LLMs mit seinen Tools ermöglicht (Client-zu-Server bzw. LLM-zu-Tool), fokussiert sich A2A auf die horizontale Integration zwischen verschiedenen Agentensystemen (Agent-zu-Agent).

Diese Symbiose zeigt sich am besten in einem Beispiel:

Beispiel: Dezentrales Medizinisches Beratungssystem
Ein Patient interagiert mit einem primären Gesundheits-Agenten, der über MCP Zugriff auf die elektronische Patientenakte hat. Für spezifische Diagnosefragen delegiert dieser Agent über A2A Anfragen an spezialisierte Fachagenten verschiedener medizinischer Einrichtungen. Jeder dieser Fachagenten nutzt wiederum MCP, um auf seine spezifischen medizinischen Datenbanken und Diagnosetools zuzugreifen. Die gesammelten Erkenntnisse fliessen über A2A zurück zum primären Agenten und werden dem Patienten präsentiert.

Dieses Beispiel illustriert den Expertenansatz: Es kommen kleinere, spezialisierte Modelle zum Einsatz. Dieser Ansatz führt oft zu einer höheren Antwortqualität, da sich die Modelle auf ihre Kernkompetenzen fokussieren können. Vereinfacht dargestellt kann das zentrale LLM über die Tools Infos abfragen und Aktionen ausführen. Das zentrale LLM kann dabei aufs minimum Begrenzt werden, um Ressourcen zu sparen und nur bei Bedarf kann ein grosses Modell beigezogen werden.

Die Zukunft: Ein KI-Ökosystem mit MCP und A2A

Die Kombination von MCP für vertikale Tool-Integration und A2A für horizontale Agenten-Kommunikation bildet das Fundament für ein reichhaltiges KI-Ökosystem. Dieses ermöglicht:

1. Spezialisierte Micro-Agenten: Statt universeller Agenten können Entwickler hochspezialisierte Agenten für bestimmte Domänen entwickeln, die nahtlos zusammenarbeiten.
2. Agentenmarktplätze: Unternehmen können spezialisierte Agenten als Dienste anbieten, die in bestehende Workflows integriert werden können.
3. Cross-Plattform-Interoperabilität: Agenten verschiedener Plattformen (Claude, GPT, Gemini, usw.) können nahtlos zusammenarbeiten und ihre jeweiligen Stärken kombinieren.

Das A2A-Protokoll (Google) und MCP (Anthropic) bilden zusammen eine leistungsstarke Grundlage für ein interoperables KI-Ökosystem. Während MCP die vertikale Integration (KI-Modelle mit Tools und Datenquellen) standardisiert, ermöglicht A2A die horizontale Integration (nahtlose Kommunikation zwischen unterschiedlichen, spezialisierten Agenten).

Für Unternehmen und Entwickler bietet diese Kombination die Möglichkeit, komplexe, verteilte KI-Systeme zu entwickeln, die sowohl auf lokale Ressourcen als auch auf spezialisierte Agentendienste zugreifen können – ein entscheidender Schritt in Richtung einer wahrhaft vernetzten KI-Landschaft.

Fazit und Ausblick

Agenten als MCP-Server revolutionieren durch standardisierte Schnittstellen die Integration von Diensten und KI-Modellen. Von einfachen API-Wrappern bis zu komplexen KI-Systemen eröffnen sie vielfältige Möglichkeiten für Entwickler und Organisationen.

Das Model Context Protocol entwickelt sich dynamisch weiter. Neue Features wie Sampling oder Roots erweitern die Möglichkeiten, während gleichzeitig Sicherheitsaspekte erkannt und adressiert werden. Zahlreiche Anbieter – von Startup bis Tech-Gigant – integrieren MCP bereits, was auf eine wachsende Akzeptanz als Standard hindeutet. Die Kombination mit dem A2A-Protokoll schafft eine leistungsstarke Grundlage für ein vielseitiges KI-Ökosystem, das sowohl vertikale Integration (MCP: Modell-Tool-Anbindung) als auch horizontale Integration (A2A: Agent-Agent-Kommunikation) unterstützt.

Bei aller Innovation müssen die Sicherheitsrisiken im Blick behalten werden. Nur durch einen verantwortungsvollen Einsatz lässt sich das volle Potenzial dieser Technologien sicher ausschöpfen, ohne die Kontrolle zu verlieren. Es lohnt sich, die Entwicklungen rund um MCP, A2A und verwandte Agenten-Frameworks zu verfolgen und ggf. durch Experimente mit eigenen MCP-Servern die vielfältigen Möglichkeiten selbst zu erkunden.

Disclaimer: This blog post was created with the assistance of Large Language Models, specifically OpenAI GPT-4o, OpenAI GPT o3, Anthropic Claude 3.7, Gemini 2.5 Pro and DeepSeek R1. The images used in this blog post were created by
Napkin AI and GPT-4o. The Podcast was created with Googles NotebookLM