Weniger als zwei Monate nachdem OpenAI ein neues Apps SDK auf den Markt gebracht hat, geht die Branche dazu über, die Art und Weise zu standardisieren, wie KI-Agenten interaktive Schnittstellen anzeigen.
Anthropic, OpenAI und die Open-Source-Community Model Context Protocol (MCP) haben gemeinsam „SEP-1865“ vorgeschlagen, eine neue Erweiterung des MCP, die textbasierte Chatbots in Full-Stack-Anwendungslaufzeiten umwandelt.
Durch die Definition eines universellen Standards für die Darstellung von Widgets wie Mit Diagrammen und Formularen zielt der Vorschlag darauf ab, ein fragmentiertes Ökosystem zu verhindern, in dem Entwickler separate Schnittstellen für jede KI-Plattform erstellen müssen.
Die Initiative führt außerdem obligatorisches Sicherheits-Sandboxing ein und behebt direkt kritische Sicherheitslücken, die bei frühen Agentenbereitstellungen geplagt haben.
Aus Daten Pipe to ‚Agentic App Runtime‘
Ursprünglich als Backend-Dienstprogramm zum Verbinden von Datenquellen konzipiert, durchläuft das Model Context Protocol (MCP) derzeit einen grundlegenden architektonischen Wandel.
Eingeführt als „SEP-1865“, ist das Vorschlag bringt ein dediziertes ui://-URI-Schema mit, das es Servern ermöglicht, neben ihren Datennutzlasten auch visuelle Schnittstellen zu definieren. Das offizielle Vorschlagsdokument definiert das neue Schema:
„UI-Vorlagen sind Ressourcen mit dem URI-Schema ui://, auf die in Tool-Metadaten verwiesen wird.“
„Dieser Ansatz ermöglicht es Hosts, Vorlagen vor der Tool-Ausführung vorab abzurufen und zu überprüfen, was sowohl die Leistung als auch die Sicherheit verbessert. Außerdem wird die statische Präsentation (die Vorlage) von dynamischen Daten (Tool-Ergebnisse) getrennt, was eine bessere Zwischenspeicherung ermöglicht.“
Die Änderung verwandelt das Protokoll effektiv in einen Bereitstellungsmechanismus für den Full-Stack Anwendungen, die über den einfachen textbasierten JSON-Austausch hinausgehen. Benutzer müssen keine Rohdaten mehr analysieren; Stattdessen können Agenten interaktive Balkendiagramme, Genehmigungsformulare oder komplexe Dashboards direkt im Chat-Fenster rendern.
Unter der Haube verlässt sich das System auf das vorhandene MCP JSON-RPC-Basisprotokoll über postMessage und stellt so sicher, dass es transportunabhängig bleibt und nicht an eine bestimmte Browser-Implementierung gebunden ist.
Architektonisch trennt das System statische Präsentationsvorlagen von dynamischen Daten, eine Designentscheidung, die die Caching-Leistung verbessern und die Latenz reduzieren soll.
Wie die Hauptbetreuer feststellten, bedeutet diese Entwicklung, dass „die MCP Apps Extension allmählich wie eine Agenten-App-Laufzeit aussieht: eine Grundlage für neuartige Interaktionen zwischen KI-Modellen, Benutzern und Anwendungen.“
Sandboxing des „Toxic Agent“
Sicherheit ist nach mehreren Schwachstellenmeldungen Mitte 2025 zum Haupttreiber für diese Architekturüberarbeitung geworden.
Forschung von Der Backslash-Sicherheitsbericht hat zuvor „NeighborJack“ aufgedeckt, eine Schwachstelle, bei der MCP-Server, die an 0.0.0.0 gebunden sind, lokale Netzwerke für Angreifer offenlegen.
Backslash warnte: „Wenn Netzwerkgefährdung auf übermäßige Berechtigungen trifft, erhält man das Perfekte.“ Sturm.“
Die Wahrnehmung der MCP-Sicherheit wurde zusätzlich durch den „Toxic Agent Flow“ erschwert, der auf dem MCP-Server von GitHub entdeckt wurde und Agenten dazu verleiten konnte, private Repositorys zu exfiltrieren. Die neue Spezifikation geht diese Kommunikationsrisiken direkt an:
„Anstatt ein benutzerdefiniertes Nachrichtenprotokoll zu erfinden, kommunizieren UI-Komponenten mit Hosts über das vorhandene MCP-JSON-RPC-Basisprotokoll über postMessage.“
„Die ursprüngliche Erweiterungsspezifikation unterstützt nur Text-/HTML-Inhalte, die in Sandbox-Iframes gerendert werden.“
Um diese Risiken zu mindern, schreibt der neue Standard vor, dass alle UI-Inhalte in Sandbox-Iframes gerendert werden, wodurch die Die Fähigkeit des Agenten, auf das Host-DOM zuzugreifen.
Durch die Durchsetzung eines „Vordeklarations“-Modells können Hostanwendungen (wie Claude Desktop oder VS Code) UI-Vorlagen überprüfen und genehmigen, bevor sie dem Benutzer jemals angezeigt werden.
Analyst Simon Willison hat die Risiken zuvor beschrieben: unter Hinweis darauf, dass die Kombination aus Datenzugriff und Ausführungsfähigkeiten „einen tödlichen Dreiklang für die sofortige Injektion“ schafft, wenn ein KI-Agent Zugriff auf private Daten hat, böswilligen Anweisungen ausgesetzt ist und Informationen herausfiltern kann.
Eine einheitliche Front gegen Walled Gardens
Der Zeitpunkt ist für diesen Vorschlag von entscheidender Bedeutung und signalisiert eine entscheidende Neuausrichtung im KI-Entwickler-Ökosystem, insbesondere im Hinblick auf die Rolle von OpenAI.
Im Oktober brachte OpenAI sein eigenes proprietäres Apps SDK auf den Markt und drohte damit, den Markt in inkompatible „Walled Gardens“ für ChatGPT im Vergleich zu anderen Modellen aufzuspalten.
Durch die Unterstützung von SEP-1865 schwenkt OpenAI effektiv auf die Unterstützung eines universellen Standards um und stellt sicher, dass Entwickler nur einmal eine Schnittstelle erstellen müssen, um sie auf Claude, ChatGPT und IDEs wie Zed auszuführen.
Starke Nutzung der Arbeit von das MCP-UI-Projekt, der Vorschlag würdigt die Betreuer Ido Salomon und Liad Yosef für den Beweis der Realisierbarkeit des Konzepts.
Ohne diese Vereinheitlichung stand die Branche vor einem Szenario, in dem jeder Modellanbieter maßgeschneiderte Frontend-Integrationen benötigen würde. Die Betreuer betonten die Dringlichkeit dieser Zusammenarbeit und erklärten, dass „mangelnde Standardisierung ein echtes Risiko der Fragmentierung des Ökosystems birgt – etwas, das wir proaktiv verhindern wollen.“
Die Positionierung von MCP nicht nur als Backend-Anschluss, sondern als „USB-C für KI“ – ein universeller Port für Daten und Interaktion – dieser Wandel ist bedeutsam. Da IDC bis 2028 1,3 Milliarden aktive KI-Agenten prognostiziert, wird erwartet, dass große Hosts, darunter Zed und möglicherweise VS Code, den Standard übernehmen und ihn als Standardlaufzeit für die nächste Generation von Agentenanwendungen festigen.
