MCP-Server im Cursor: Einrichtung, Konfiguration und Sicherheit (2026-Handbuch)

Standardmäßig weiß der KI-Agent von Cursor nur über Ihre Codebasis Bescheid. Das ist es. Es kann deine Postgres-Tabellen nicht sehen, hat keine Ahnung, welche GitHub-Probleme sich anhäufen, und kann definitiv keine Design-Tokens von Figma abrufen. MCP-Server überbrücken diese Lücke. Es handelt sich um einfache Programme, die externe Tools über ein standardisiertes Protokoll in Cursor einbinden Modellkontext-Protokoll— damit der Agent Datenbanken abfragen, Probleme lösen oder API-Daten direkt aus dem Editor abrufen kann.

Eine kurze Geschichte. Anthropisches Open-Source-MCP in Novembre 2024. Öffnen Sie KI hat es bis Mai 2025 angenommen und Google DeepMind brachte Gemini-Unterstützung im April. Dann, im Dezember 2025, spendete Anthropic das Ganze an Agentic AI Foundation (unter der Linux Foundation), mitbegründet mit Block und OpenAI. Dieser Schritt war bedeutsam. MCP wurde vom Projekt von Anthropic zu einem wirklich anbieterneutralen Standard.

Cursor hat sich zu einem der wichtigsten MCP-Clients unter den IDEs entwickelt. Aber um es richtig einzurichten — und zu verstehen, was sowohl aus der Konfiguration als auch aus Sicherheitsgründen schief gehen kann — ist mehr erforderlich, als nur einen JSON-Snippet einzufügen, den Sie auf Reddit gefunden haben.

Wie MCP tatsächlich innerhalb des Cursors funktioniert

Das ist ein Grund MCP gegen API wichtig für IDE-Agenten: APIs erfordern eine explizite Integrationslogik, während MCP lässt Cursor verfügbare Tools dynamisch von verbundenen Servern laden.

MCP definiert drei bewegliche Teile. Gastgeber sind der Application—Cursor. Kunden sind Konnektoren innerhalb des Hosts, die einzelne Serververbindungen verarbeiten. Server sind die leichten Programme am anderen Ende, die Tools verfügbar machen über JSON-RPC 2.0.

Quelle des Bilds

In der Praxis? Sie öffnen Cursor. Sein Agent scannt Ihre aktivierten MCP-Server, lädt die Tools, die sie zur Verfügung stellen, und findet heraus, welche im Rahmen der gerade ausgeführten Aufgabe aufgerufen werden müssen. Gehen Sie rüber zu Cursoreinstellungen > Tools und MCP und Sie werden jeden geladenen Server mit einer Statusanzeige sehen. In diesem Bedienfeld können Sie einzelne Tools ein- oder ausschalten.

Server können drei Arten von Dingen offenlegen:

• Werkzeuge sind die wichtigsten — ausführbare Funktionen wie create_issue oder run_query. Cursor unterstützt Tools seit den Anfängen seiner MCP-Integration.
• Ressourcen sind kontextbezogene Daten: Dateiinhalte, Datenbankschemas, Konfigurationsdetails. Unterstützung für Ressourcen ist eingetroffen Cursor v1.6 (September 2025).
• Aufforderungen ermöglichen es Servern, dem Client wiederverwendbare Vorlagen und vordefinierte Workflows anzubieten.

Einen ausführlicheren Überblick über die MCP-Architektur und die Server-Primitive finden Sie in unserem Leitfaden unter MCP und wie es funktioniert.

Transporttypen: Wie der Cursor mit MCP-Servern kommuniziert

Drei Optionen hier. Welche Sie wählen, hängt von einer einfachen Frage ab — lokaler Server oder Remote-Server?

Unsere Empfehlung: Studio für lokale Experimente. Streambares HTTP für buchstäblich alles andere.

MCP-Server einrichten

Der einfache Weg: Deeplinks mit einem Klick

Immer mehr MCP-Server haben jetzt eine Schaltfläche „Zum Cursor hinzufügen“ direkt auf ihrer Dokumentseite. Klicken Sie darauf, und Cursor öffnet ein Dialogfeld, in dem der Servername, der Transport und die URL bereits ausgefüllt sind. Klicken Sie auf Installieren. Das ist der ganze Prozess.

Server, die eine Authentifizierung benötigen, lösen einen browserbasierten OAuth-Fluss aus, und Cursor speichert die resultierenden Anmeldeinformationen für Sie. Wenn Sie ein Serverentwickler sind und diese Deeplinks hinzufügen möchten, Cursor MCP-Dokumentation erklärt wie.

Manuelles Setup: stdio für lokale Server

Offen Cursoreinstellungen > Tools und MCP, schlag Neuer MCP-Server (was dich zu mcp.json bringt), oder erstelle die Datei einfach manuell. Platzieren Sie es unter .cursor/mcp.json in Ihrem Projekt für eine projektbezogene Konfiguration oder unter ~/.cursor/mcp.json für global.

So sieht ein GitHub-MCP-Server aus, der über Docker läuft:

{
  "mcpServers": {
    "github": {
      "command": "docker",
      "args": [
        "run", "-i", "--rm",
        "-e", "GITHUB_PERSONAL_ACCESS_TOKEN",
        "ghcr.io/github/github-mcp-server"
      ],
      "env": {
        "GITHUB_PERSONAL_ACCESS_TOKEN": "<YOUR_TOKEN>"
      }
    }
  }
}

Die Felder, kurz:

• „command“ — Was der Cursor ausführt, um den Server zu starten. npx, docker, python, node — was auch immer der Server erwartet.
• „args“ — Argumente, die an diesen Befehl weitergeleitet wurden.
• „env“ — Umgebungsvariablen, die zur Laufzeit übergeben werden. Geben Sie die API-Schlüssel hier ein. Nicht in Ihrem Shell-Profil, nicht in einer.env-Datei, die versehentlich übertragen wird — hier.

Manuelles Setup: Streambares HTTP für Remoteserver

Viel einfacher. Nur eine URL und optionale Header:

{
  "mcpServers": {
    "remote-api": {
      "url": "https://mcp.example.com/mcp",
      "headers": {
        "Authorization": "Bearer <YOUR_API_KEY>"
      }
    }
  }
}

Kein Befehl. Keine Argumente. Der Cursor trifft direkt auf den HTTP-Endpunkt.

Projektebene im Vergleich zu globaler Konfiguration

Die Projektkonfiguration (.cursor/mcp.json im Repo-Stammverzeichnis) wirkt sich nur auf dieses Projekt aus. Die globale Konfiguration (~/.cursor/mcp.json) gilt überall. Derselbe Server ist in beiden Dateien definiert? Gewinne auf Projektebene.

Wenn Dinge kaputt gehen: Fehlerbehebung bei MCP im Cursor

Das Limit von 40 Tools

Cursor hat eine Obergrenze von etwa 40 aktiven Tools auf all Ihren MCP-Servern zusammen. Wenn Sie diese Grenze überschreiten, passieren zwei Dinge: Sie erhalten eine Warnung und der Agent verliert stillschweigend den Zugriff auf einige Tools. Er kann sie einfach nicht mehr sehen.

Warum gibt es das Limit? Jede Tooldefinition verbrennt Kontext-Token. Und sobald Sie mehr als 40 Werkzeugbeschreibungen in eine Eingabeaufforderung einfügen, verschlechtert sich die Fähigkeit des LLM, die richtige auszuwählen, merklich.

Was kann man dagegen tun: öffne jeden Server in den Einstellungen und schalte die Tools aus, die du nicht aktiv verwendest. Und in der Regel ist ein Server, auf dem 5 bis 10 wohldefinierte Tools verfügbar sind, besser für Sie als ein Megaserver, der versucht, 30 Dinge zu erledigen.

„Keine Tools gefunden“ oder stille Fehler

Dein MCP-Server hat nicht angefangen. Der Cursor zeigt keinen Fehler an. Keine Warnung. Nichts. Sie bemerken nur, dass Tools nicht angezeigt werden.

In neun von zehn Fällen ist das Problem eines dieser: Node.js oder Python ist nicht installiert (oder befindet sich nicht auf Ihrem PATH). Die Paketversion in Ihrer Konfiguration existiert nicht. Oder eine Umgebungsvariable, auf die Sie verwiesen haben, ist entweder leer oder fehlt vollständig.

Schnellster Weg zum Debuggen: kopiere den Befehl wörtlich aus deinem mcp.json und führe ihn in einem Terminal aus. So: npx -y @modelcontextprotocol /server-postgres postgresql: //localhost/mydb. Welchen Fehler auch immer der Cursor verschluckt hat, er wird direkt auf Ihren Bildschirm gedruckt.

SSH- und Remote-Umgebungen

Studiotransport und abgelegene Umgebungen verstehen sich nicht. Der Unterprozess wird auf der Remote-Seite gestartet, aber Cursor erwartet ihn lokal. Am Ende kommt es zu zeitweiligen Verbindungsfehlern, deren Aufspürung unglaublich lästig ist.

Verwenden Sie einfach Streamable HTTP. Stellen Sie den MCP-Server als gehosteten Endpunkt bereit und zeigen Sie mit dem Cursor auf die URL. Spart stundenlanges Debuggen.

Kleine Konfigurationsfehler, die Ihren Nachmittag verschwenden

Wir stoßen immer wieder auf dieselben drei:

• Servername und Toolname mit mehr als 60 Zeichen. Der Cursor gibt einen Fehler aus, aber die Meldung ist nicht besonders hilfreich.
• Der Root-Key „MCPServers“ fehlt. Kein Fehler. Keine Warnung. Der Cursor ignoriert einfach die gesamte Datei. Sie werden auf Ihr perfekt formatiertes JSON starren und sich fragen, warum nichts geladen wird.
• Ich habe -y mit npx vergessen. Der Prozess hängt für immer. Warum? Weil npx darauf wartet, dass du eine Paketinstallation bestätigst, aber es gibt kein interaktives Terminal, in das du „y“ eingeben kannst.

MCP-Sicherheit: Der Teil, den Sie sich nicht leisten können, zu überspringen

MCP-Server führen Code mit Ihren Anmeldeinformationen aus. Lass das für einen Moment einwirken. Welche Berechtigungen Sie einem Server auch geben — Datenbankzugriff, GitHub-Token, API-Schlüssel — er wird sie verwenden. Jeder MCP-Server ist aus praktischen Gründen eine vollständig vertrauenswürdige Integration. Wenn ein Server kompromittiert oder bösartig ist, hat er alles, was Sie ihm gegeben haben.

2025 war ein schwieriges Jahr für Cursor MCP-Sicherheit. Die Forscher veröffentlichten mehrere kritische CVEs, und jede davon enthüllte eine grundlegend andere Angriffsfläche:

• CVE-2025-54136, genannt „McPoison“ — Check Point-Recherche entdeckte, dass Cursor dem Schlüsselnamen des MCP-Servers in der Konfigurationsdatei vertraut hat, nicht dem eigentlichen Befehl, der darunter ausgeführt wird. Konkrete Auswirkung: Jemand könnte eine modifizierte .cursor/mcp.json in ein gemeinsam genutztes Repository verschieben und dabei einen legitimen Befehl gegen einen böswilligen austauschen. Der Cursor würde es trotzdem ausführen, ohne um Genehmigung zu bitten, da sich der Schlüsselname nicht geändert hatte. In Cursor 1.3, Juli 2025, behoben.
• CVE-2025-54135, genannt „curXecute“ — AIM-Sicherheit hat etwas Wildes rausgeholt. Sie haben gezeigt, dass vergifteter Inhalt in Slack-Nachrichten, wenn er von Cursors Agent zusammengefasst wird, Ihre MCP-Konfigurationsdatei umschreiben und betrügerische Server automatisch starten können. Eine Slack-Nachricht. Das ist der Angriffsvektor. In Cursor 1.3.9 behoben.
• CVE-2025-59944 — Lakera habe einen Trick zur Berücksichtigung der Groß- und Kleinschreibung für macOS und Windows gefunden. Angreifer konnten .cursor/mcp.json überschreiben, indem sie in die Datei .cursor/mcp.json schrieben — das Dateisystem behandelte sie als denselben Pfad. In Cursor 1.7 behoben.
• CVE-2025-64106 — Cyata-Sicherheit entdeckte, dass der MCP-Installationsdialog in Cursor gefälscht werden könnte. Es würde dem Benutzer einen vertrauenswürdigen Namen wie „Playwright“ anzeigen und gleichzeitig im Hintergrund völlig andere, vom Angreifer gesteuerte Befehle ausführen. Cursor hat in Version 2.0 einen Fix ausgeliefert. Es hat nur 48 Stunden nach der Enthüllung gedauert.

Bewährte Sicherheitsmethoden

• Beenden Sie den Auto-Run-Modus. Zwingen Sie den Agenten, vor jedem Tool-Aufruf eine ausdrückliche Genehmigung einzuholen. Ja, jeder einzelne. Die Reibung ist es wert.
• Immer das geringste Privileg für Anmeldeinformationen. Schreibgeschützte GitHub-Token für alles, was mit der Suche zu tun hat. Schreibgeschützte Datenbankbenutzer zum Durchsuchen von Schemas. Gewähren Sie niemals Schreibzugriff, es sei denn, der Anwendungsfall erfordert dies unbedingt.
• Paketversionen anheften. npx -y mcp-server @1 .2.3 — nicht @latest. Ein kompromittiertes neuestes Tag ist ein echter Angriffsvektor für die Lieferkette, und Sie wollen es nicht auf die harte Tour herausfinden.
• Lesen Sie den Quellcode von Servern von Drittanbietern. Wenn Sie in der Produktion kein ungeprüftes npm-Paket ausführen würden, sollten Sie auch keinen ungeprüften MCP-Server in Ihrer IDE ausführen. Gleiches Risikoprofil.
• Bleiben Sie auf der neuesten Cursor-Version. Volle Anerkennung gebührt dem Cursor-Team — sie haben jeden dieser CVEs innerhalb weniger Tage gepatcht. Diese Patches helfen jedoch nur, wenn Sie sie tatsächlich aktualisieren.
• Behandle .cursor/mcp.json-Änderungen in Git wie Infrastrukturänderungen. Dieselbe Genauigkeit bei der Überprüfung, die Sie auf eine Terraform-Datei oder einen GitHub Actions-Workflow anwenden würden.

Weitere Informationen zu diesen Themen finden Sie in unseren Unternehmensleitfäden MCP-Sicherheit und Zugriffskontrollmuster.

MCP vom Entwickler zum Unternehmen skalieren

Für einen einzelnen Entwickler ist MCP großartig. Richten Sie es einmal ein, genießen Sie den Produktivitätsschub und fahren Sie fort. Aber auf ein 20-köpfiges Team skalieren? Oder 200? Da fängt der Schmerz an.

API-Schlüssel sind am Ende auf einzelnen Laptops verteilt. Es gibt keine zentrale Übersicht darüber, welche Server und Tools in der gesamten Organisation aktiv sind. Kein Prüfpfad. Und wenn jemand das Unternehmen verlässt — oder auch nur einfach das Team wechselt — müssen Sie die Anmeldeinformationen in Dutzenden von einzelnen Cursor-Konfigurationsdateien, die auf wer-weiß-wievielen Computern verteilt sind, wechseln.

Ein MCP-Gateway stellt eine Ebene zwischen Ihren Agenten und Ihren MCP-Servern her, die alle oben genannten Aufgaben übernimmt: zentrale Authentifizierung, rollenbasierter Zugriff, Beobachtbarkeit und Durchsetzung von Richtlinien.

Das MCP-Gateway von TrueFoundry macht genau das. Entwickler authentifizieren sich einmal gegenüber dem Gateway. Ab diesem Zeitpunkt verwaltet das Gateway alle Downstream-OAuth-Token und Anmeldeinformationen für sie. Administratoren definieren Zugriffskontrollen und Berechtigungen pro Server über RBAC. Jeder Tool-Aufruf — jeder einzelne — wird mit vollständiger Nachverfolgung auf Anforderungsebene protokolliert.

Eine Funktion, die es wert ist, besonders hervorgehoben zu werden: Virtuelle MCP-Server. Das Gateway kann eine bestimmte Teilmenge von Tools von den dahinter stehenden Servern bereitstellen. Angenommen, Sie möchten einen Agenten, der GitHub-Issues lesen kann, aber unter keinen Umständen ein Repository löschen darf. Sie erzwingen das nicht über eine Systemaufforderung, die das LLM möglicherweise ignoriert. Das Gateway setzt dies auf Protokollebene durch. Das Tool „Repo löschen“ existiert aus Sicht des Agenten einfach nicht.

Organisationen, die TrueFoundry's bereits verwenden KI-Gateway Für LLM-Routing und Kostenkontrolle erhalten Sie eine native Integration mit MCP Gateway. Eine Kontrollebene deckt Modelle, Tools und Agenten ab.

Cursor kann sich auch direkt mit dem AI Gateway von TrueFoundry verbinden, um das LLM-Routing, die Kostenverfolgung und die Schlüsselverwaltung zu zentralisieren.

Einpacken

MCP gibt Cursor die Möglichkeit, mit echten, externen Tools zu interagieren — nicht nur mit Ihren Quelldateien. Die individuelle Einrichtung dauert nur wenige Minuten. Die eigentliche technische Herausforderung zeigt sich später: Verwaltung, Verwaltung von Anmeldeinformationen, Zugriffskontrolle und Beobachtbarkeit auf Teamebene.

Fangen Sie klein an. Ein oder zwei Server. Verwenden Sie Deeplinks, sofern verfügbar. Beachten Sie das Limit von 40 Werkzeugen. Bleiben Sie auf dem Laufenden, um über Sicherheitspatches immer einen Schritt voraus zu sein. Und wenn Sie MCP in einem Team oder einer Organisation einsetzen, sollten Sie sich ein MCP-Gateway ansehen, bevor sich das Problem der Ausbreitung von Anmeldeinformationen von selbst löst und zu einem Sicherheitsvorfall wird.

Erkunden Das MCP-Gateway von TrueFoundry oder eine Demo buchen um es in Aktion zu sehen.

Häufig gestellte Fragen

Was genau ist ein MCP-Server in Cursor?

Ein schlankes Programm, das den AI-Agenten von Cursor über das Modellkontext-Protokoll. Es macht Funktionen (sogenannte „Tools“) verfügbar, die der Agent während Workflows entdeckt und aufruft. GitHub, Postgres, Figma, Slack — sie alle haben MCP-Server verfügbar.

Wie füge ich einen zu Cursor hinzu?

Drei Möglichkeiten. Deep-Link-Schaltflächen mit einem Klick auf der Dokumentseite des Servers (am einfachsten). Die Cursoreinstellungen > Tools und MCP > Neuer MCP-Server UI. Oder manuelles Erstellen von .cursor/mcp.json (project-scoped) oder ~/.cursor/mcp.json (global).

Was ist das Toollimit?

Rund 40 aktive Tools auf allen Servern. Darüber hinaus wird es für den Agenten immer schlechter, das richtige Tool auszuwählen, weil der Kontext voll wird. Schalten Sie aus, was Sie nicht verwenden.

Verwaltet Cursor MCP-Ressourcen und -Erhebungen?

Ja. Ressourcen wurden geliefert v1.6 (September 2025) — Kontextdaten wie Schemas und Dateiinhalte. Die Enthüllung ist eingedrungen v1.5 (August 2025) — Server können während der Ausführung strukturierte Benutzereingaben anfordern.

Können MCP-Server sicher in Cursor verwendet werden?

Hängt von deinem Setup ab. MCP-Server führen Code mit den von Ihnen angegebenen Berechtigungen aus. Im Jahr 2025 fanden Forscher mehrere kritische Sicherheitslücken, die alle schnell behoben wurden. Halten Sie den Cursor auf dem neuesten Stand, deaktivieren Sie die automatische Ausführung, schränken Sie Anmeldeinformationen ein, fixieren Sie Paketversionen und überprüfen Sie Server von Drittanbietern, bevor Sie sie hinzufügen.

Wie verwalten große Teams MCP-Server?

Über ein MCP-Gateway. Das Gateway von TrueFoundry zentralisiert die Authentifizierung, erzwingt RBAC und protokolliert jeden Toolaufruf. Administratoren kontrollieren genau, welche Teams Zugriff auf welche Server erhalten. Eine detaillierte Aufschlüsselung finden Sie in unserem MCP-Gateway-Vergleich.