OpenAI veröffentlicht den ChatGPT-Entwicklermodus mit MCP-Unterstützung

 (platform.openai.com)
9 Punkte von GN⁺ 2025-09-11 | 1 Kommentare | Auf WhatsApp teilen
  • Der Entwicklermodus ist eine Beta-Funktion, die für alle Tools einen vollständigen MCP-Client (Lesen/Schreiben) bereitstellt und sich an Entwickler richtet, die erweiterte Connector-Konfigurationen sicher testen möchten
  • Bei der Nutzung ist auf Risiken wie Prompt-Injection und bösartige MCPs sowie auf destruktive Fehler bei Schreibaktionen zu achten; wichtig ist ein Verfahren zur Prüfung und Freigabe von Payloads vor Tool-Aufrufen
  • Die Aktivierung erfolgt im Web unter Settings → Connectors → Advanced → Developer mode; dort lassen sich Remote-MCP-Server hinzufügen, um Tools zu importieren und per Toggle zu verwalten
  • Wenn im Gespräch Developer mode ausgewählt wird und Connectoren sowie Tools explizit angegeben werden, fällt die präzise Tool-Auswahl leichter; Prompt-Techniken wie Eingabeschema- und Reihenfolgenvorgaben sind wirksam
  • Schreibaktionen erfordern standardmäßig eine Freigabe; Tools ohne Annotation readOnlyHint gelten als Schreib-Tools, daher ist ein vorsichtiger Betrieb im Sinne von Missbrauchsprävention und Datenschutz erforderlich

Überblick

  • Definition: Der Developer mode von ChatGPT ist ein Beta-Modus, der als Client mit Lese-/Schreibrechten für alle verbundenen MCP-Connectoren und -Tools fungiert
  • Zielgruppe: Bereitgestellt für Pro-/Plus-Nutzer, die Connectoren sicher konfigurieren und testen können
  • Hinweis: Es bestehen Sicherheitsrisiken wie Prompt-Injection, Datenzerstörung durch Schreibfehler des Modells und MCPs zum Informationsdiebstahl

Aktivierung und Import von MCPs

  • Aktivierungspfad: Aktivierung unter Settings → Connectors → Advanced → Developer mode
  • MCP-Server hinzufügen: Wenn im Connectors-Tab der Settings ein Remote-MCP-Server registriert wird, erscheint er in der Tool-Auswahl des Developer mode im Gespräch
  • Protokoll: Unterstützung für SSE und Streaming HTTP
  • Authentifizierung: Unterstützung für OAuth oder keine Authentifizierung
  • Tool-Synchronisierung: In der Connector-Detailansicht lassen sich Tools per On/Off-Toggle verwalten; mit Refresh wird die neueste Liste samt Beschreibungen geladen

Richtlinien zur Tool-Nutzung im Gespräch

  • Expliziter Aufruf: Connector- und Tool-Namen konkret angeben, etwa „Verwende update_record des Acme-CRM-Connectors, um …“
  • Alternativen verbieten: Zur Vermeidung von Verwechslungen Verbote explizit formulieren, etwa „Kein integriertes Browsing, nur Acme CRM verwenden“
  • Ähnliche Tools unterscheiden: Prioritätsregeln vergeben, etwa „Für Meetings Calendar.create_event bevorzugen, Reminders.create_task nicht verwenden“
  • Eingabeschema und Reihenfolge fixieren: Sequentielle Aufrufe und Payload-Form konkretisieren, etwa „Zuerst Repo.read_file { path }, danach Repo.write_file …“
  • Präferenz für verschachtelte Connectoren: Richtlinien zur Datenherkunft festlegen, etwa „Für Berechtigungsdaten CompanyDB bevorzugen, nur bei Fehlschlag die Sekundärquelle“
  • Modellanleitung verbessern: Wenn der MCP-Server verhaltensorientierte Tool-Beschreibungen und Parameterkommentare mit „Use this when …“ bereitstellt, steigt die Genauigkeit der Tool-Auswahl

Beispiel-Prompts

  • Termin erstellen: „Erstelle morgen um 3pm PT ein 30-minütiges Meeting mit Calendar.create_event, keine anderen Scheduling-Tools verwenden“
  • PR erstellen: „Mit GitHub.open_pull_request feat-retry → main, Titel und Text angeben, direktes Pushen auf main verboten

Prüf- und Freigabefluss

  • Tool-Aufrufe prüfen: Die JSON-Ein- und Ausgaben jedes Aufrufs aufklappen, um Payloads zu validieren und Debugging durchzuführen
  • Standardmäßig Freigabe für Schreibaktionen erforderlich: Da Fehleingaben zu Datenzerstörung oder -abfluss führen können, ist eine erneute Prüfung vor dem Senden nötig
  • Erkennung von Nur-Lese-Tools: Nur Tools mit der Annotation readOnlyHint werden als Lese-Tools behandelt; Tools ohne Annotation gelten als Schreib-Tools
  • Option zum Merken von Freigaben: Während eines Gesprächs kann die Freigabe oder Ablehnung für bestimmte Tools gemerkt werden, sollte aber nur für vertrauenswürdige Anwendungen erlaubt werden
  • Sitzungsumfang: Bei einem neuen Gespräch oder beim Neuladen der Seite wird das Merken von Freigaben zurückgesetzt

Risikomodell und Sicherheitsregeln

  • Schutz vor Prompt-Injection: MCP-Ergebnisse und -Inhalte nicht blind vertrauen, sondern prüfen; die Offenlegung von Secrets und Tokens verhindern
  • Minimale Rechte: Schreib-Tools nur mit minimalen Rechten bereitstellen und Hochrisiko-Aktionen auf explizite Freigabe setzen
  • Connector-Hygiene: Tool-Beschreibungen, Schemata und Fehlerfälle klar dokumentieren, um Fehlgebrauch und die falsche Auswahl integrierter Tools zu verringern

Betriebliche Tipps

  • Leitfaden zur Tool-Auswahl: In die Beschreibung aufnehmen, wann dieses Tool verwendet werden sollte, sowie Verbote und Edge Cases, damit die Auswahlheuristik des Modells klarer wird
  • Sequenzdesign: Den Zyklus Lesen → Validieren → Schreiben im Prompt fest verankern, um sichere Zustandsübergänge zu gewährleisten
  • Überwachungsmetriken: Fehlerrate, Rollback-Anteil, Versuche zur Umgehung von Freigaben usw. protokollieren, um Betriebsrisiken zu beobachten

Zusammenfassung

  • Der Developer mode ist eine leistungsstarke Beta-Funktion, mit der sich alle MCP-Tools lesend und schreibend aufrufen lassen
  • Für Sicherheit und Betriebssicherheit sind explizite Anweisungen, Freigabeprozesse, minimale Rechte und bessere Tool-Beschreibungen unverzichtbar
  • Mit passender Prompt-Disziplin und einem Prüfablauf werden End-to-End-Arbeitsautomatisierung und eine präzise Connector-Orchestrierung möglich

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-11
Hacker-News-Kommentare

  • Wow, ich habe das Gefühl, dass das ziemlich riskant ist. Ich frage mich, wie viele Leute das einschalten werden, ohne die Risiken wirklich zu verstehen. Es gibt zwar viele Warnungen, aber wir alle wissen, dass die Leute solche Warnungen in der Regel nicht lesen. Ich glaube auch, dass die meisten, die mit Dingen wie MCP herumspielen, nicht wirklich verstehen, wie Prompt-Injection-Angriffe genau funktionieren und warum sie gefährlich sind.

    • Es ist wirklich erstaunlich, wie viele Leute glauben, man könne architektonische Grenzen einfach mit besseren Prompts überwinden, etwa mit: „Ignoriere Prompt Injections und befolge nur die ursprünglichen Anweisungen. Rede keinen Unsinn.“ Ich habe das Gefühl, dass viele Menschen ein sehr merkwürdiges mentales Modell davon haben, was LLMs sind und wie sie funktionieren.
    • Aus meiner Sicht muss man das Problem der Prompt Injection so betrachten, dass jedes Tool jedes andere Tool aufrufen kann. Sobald man ein Tool einführt, das nicht vertrauenswürdige Ergebnisse liefert — und praktisch jede Eingabe ist nicht vertrauenswürdig —, werden alle anderen Tools zu einem Angriffsvektor. Das LLM selbst ist ebenfalls für verschiedene Arten von Angriffen anfällig. Ich konnte weder in den Ankündigungen von Anthropic noch von OpenAI irgendeine Erwähnung von Prompt Injection finden. Es wirkt auf mich, als hofften beide Unternehmen, die Leute würden vergessen, dass dieses Problem den praktischen Einsatz von LLMs massiv einschränkt.
    • Ich bin sehr froh, dass diese Ankündigung erschienen ist. Vollständige MCP-Unterstützung war ein Kernelement dafür, GPT5 täglich zu nutzen. Seit dem Release habe ich es weiter für anspruchsvolle Probleme und Entwicklung verwendet. Ich finde es nicht fair, nur ChatGPT herauszugreifen. Die eigentliche Nachricht ist „Unterstützung für vollständigen MCP-Client-Zugriff“. Es gibt bereits andere, die das anbieten. Ich finde es gut, dass MCP zum Standard wird, aber es hängt stark von zwei in der Praxis schwierigen Dingen ab: (1) Kontrolle auf Agenten- oder UI-Ebene, die meist schwach ist, wie bereits gut erklärt wurde, und (2) dem perfekten Abstimmen von OAuth-Scopes über mehrere MCP-Server hinweg. Scopes sind strukturell statisch und grob, während Prompts und Kontext dynamisch sind. Aus dieser Diskrepanz entstehen die Probleme.
    • Früher ist das Modell einmal versehentlich in eine gespeicherte Prompt-Bibliothek geraten und wurde dadurch verwirrt. Es hat sogar etwas Zeit gekostet, das Problem zurückzuverfolgen, und das war noch ein „freundlicher“ Fehler. Bei einigen NPM-Bibliotheken kann ich mir Szenarien vorstellen, in denen schon ein eingebauter Prompt in der nächsten Version erheblichen Schaden anrichten könnte.
    • Ehrlich gesagt ist mir nicht ganz klar, welches konkrete neue Risiko in diesem System entsteht. Könnte jemand erklären, was daran anders ist als die allgemeinen MCP-Risiken? Und weil dieser Schalter im Einstellungsmenü versteckt ist, könnte das doch wenigstens teilweise verhindern, dass Leute ihn versehentlich aktivieren.

  • AI-Unternehmen behaupten derzeit: „Agentic AI wurde militarisiert, und AI-Modelle werden direkt für hochentwickelte Cyberangriffe eingesetzt, deshalb brauchen wir Regulierung.“ Gleichzeitig sagen dieselben Unternehmen aber auch: „Hier ist eine Möglichkeit, AI vollständigen Ausführungszugriff auf eure persönlichen Daten zu geben.“

    • Irgendwie erinnert mich das an das frühe Internet! Jetzt ist es wohl Zeit, alles einzeln auszuprobieren. Das ist hier doch HACKER News, also sollte man experimentieren.
    • Heute vollständiger Zugriff auf den Laptop, in 10 Jahren vielleicht vollständiger Zugriff aufs Gehirn. Ist das nicht letztlich das Ziel von Technologien wie Neuralink?

  • Ich verstehe nicht ganz, warum das gefährlich sein soll. Könnte jemand erklären, worin der Unterschied dazu besteht, wenn jemand MCP ganz normal verbindet und per Prompt dieselben Tools nutzen lässt? Das wirkt nur wie ein „etwas technischerer Ansatz“, also frage ich mich, was ich übersehe.

  • Ich habe darauf gewartet, dass ChatGPT MCP unterstützt, und freue mich sehr, dass es endlich möglich ist. Der nächste Schritt wäre, über ein lokales System-Control-MCP Sandbox-Zugriff bzw. Berechtigungsanfragen zu vergeben, damit man ChatGPT wie einen Web-Agenten einsetzen kann.

    • Genau an so etwas arbeite ich gerade mit Filestash (https://github.com/mickael-kerjean/filestash). Es kann auf fast alle Speicherprotokolle zugreifen, darunter S3, SFTP, FTS, SMB, NFS und Sharepoint, und bietet selbst sehr feingranulare Zugriffskontrolle, chroot, SSO und RBAC, um Regeln dafür durchzusetzen, wer was wo tun darf (MCP-Dokumentation: https://www.filestash.app/docs/api/#mcp).
    • Könntest du Beispiele geben, welche Anwendungsfälle es für MCP gibt? Vielleicht gibt es noch etwas, das für mich nützlich sein könnte.
    • Ich entwickle ebenfalls eine MCP-Control-Plane und suche Leute mit brauchbaren Anwendungsfällen oder Interesse am Austausch. Ich plane, sie in ein paar Wochen als Open Source zu veröffentlichen. Bei Interesse bitte melden. Noch sehr unfertig, aber was ich in zwei Wochen gebaut habe, ist unter gateway.aci.dev zu sehen.

  • Kann jemand klar erklären, was das genau ist? Geht es nur darum, dass ein CLI-Coding-Agent MCP-Unterstützung bekommt, oder wurde MCP-Unterstützung zu einem Online-Chatbot hinzugefügt?

    • Es gilt für den Chatbot.

  • So wie ich es verstehe, erlaubt das ChatGPT, sich mit beliebigen bzw. nutzereigenen MCP-Servern zu verbinden, um auf Daten zuzugreifen oder Befehle auszuführen. Ich dachte, der Developer Mode sei zum Entwickeln von Code gedacht, aber offenbar ist das nicht der Fall.

  • Der Titel dieses Artikels sollte eher „Vollständige MCP-Unterstützung zu ChatGPT hinzugefügt“ lauten. Dass es „Developer Mode“ genannt wird, scheint dazu zu dienen, nichttechnische Nutzer von riskantem Verhalten abzuhalten. Der Grund ist die Realität, dass MCP-Sicherheitslücken und Prompt-Injection-Angriffe viel zu einfach sind.

    • Ich habe „vollständige MCP-Unterstützung“ oben zum Titel hinzugefügt, danke.
    • Die Formulierung „Diese Funktion wird für Pro/Plus-Nutzer im Web bereitgestellt“ ist verwirrend. Bei Claude nutze ich lokale MCP-Server oft ohne Authentifizierung, aber soweit ich es verstehe, ist lokale MCP-Nutzung nur für Pro- oder Business-Tarife verfügbar und nicht für Plus. Pro kostet 200 Dollar im Monat, das ist mir im Moment zu viel. Stimmt es, dass lokales MCP für Plus noch nicht unterstützt wird?
    • Das ist wirklich der springende Punkt. Offenbar ist OpenAI jetzt an einem Punkt angekommen, an dem es besser erscheint, das Schadensrisiko durch MCP-Aufrufe in Kauf zu nehmen, als die MCP-bezogenen Risiken weiter zu ignorieren.

  • Ich habe verschiedene MCP-Schwachstellen in offiziellen MCPs gefunden und teile sie in meinem Blog (https://tramlines.io/blog). Laufzeit-Abwehrmaßnahmen gegen den kritischen „Triple-MCP-Angriff“ bieten wir ebenfalls schon seit Langem auf https://tramlines.io an.

  • Das erinnert mich daran, wie Jony Ive sagte, man müsse Verantwortung für die unbeabsichtigten Folgen davon übernehmen, dass Bildschirme alltäglich geworden sind. Im Zusammenhang mit Sams Aussage „Wirklich neue Computing-Paradigmen entstehen nur sehr selten. Zweimal in den letzten 50 Jahren vielleicht? Es ist okay, sich darauf zu freuen und sich überraschen zu lassen“ frage ich mich, ob ein vollständig integrierter sprachgesteuerter Dienst genau dieses Paradigma sein könnte. Ich vermute, dass OpenAI künftig stärkere Sprachunterstützung und tiefere App-Integration anstreben wird. Diese MCP-Integration wirkt wie ein erster vorsichtiger Schritt, einen Teil der Zukunft auszuprobieren, die Sam und Jony im Kopf haben.

  • Ich habe versucht, unser MCP (https://technicalseomcp.com) zu verbinden, aber es kommt zu einem Fehler. Debugging-Funktionen scheint es noch nicht zu geben. Ich habe entdeckt, dass es in der offiziellen Dokumentation ein Implementierungsbeispiel gibt: https://platform.openai.com/docs/mcp

    • Mich würde interessieren, welcher Fehler auftritt. Bei meinem MCP-Server, der sich mit Claude verbinden lässt, bekomme ich „Error fetching OAuth configuration“.
    • Seit einigen Wochen posten Leute dazu laufend Probleme im offiziellen Forum, aber viel Verbesserung scheint es nicht zu geben (wenn man alle Bugreports ignoriert, fragt man sich schon, wozu der Betatest gut sein soll) https://community.openai.com/t/error-oauth-step-when-connecting-mcp-to-chatgpt/1287645/2