MCP: Wie Claude intelligent mit Ihren lokalen Dateien interagiert.

Model Context Protocol (MCP) bietet einen sicheren Rahmen, damit Anwendungen über sandboxbasierte Operationen mit Dateisystemen interagieren können. Dieser Leitfaden erläutert, wie MCP funktioniert, welche Hauptfunktionen es gibt, und führt anhand eines praktischen Beispiels mit dem MCP-Dateisystemserver durch die Nutzung.

Was ist das Model Context Protocol (MCP)?

Das Model Context Protocol (MCP) ist ein leistungsstarkes Sicherheitsframework, das kontrollierte Interaktionen zwischen Anwendungen (wie KI-Assistenten) und externen Systemen, insbesondere Dateisystemen, ermöglicht. MCP dient als sichere Brücke und erlaubt Tools, Operationen wie Lesen, Schreiben oder Suchen von Dateien in einer sandboxbasierten, berechtigungsorientierten Umgebung durchzuführen.

Das Protokoll ist besonders wertvoll für Entwickler, die Dateisystem-Operationen in Anwendungen wie VS Code, Claude Desktop oder andere Entwicklungsumgebungen integrieren möchten, ohne dabei die Sicherheit zu gefährden.

Hauptfunktionen von MCP

• Sandbox-Operationen: Alle Aktivitäten finden in vordefinierten Verzeichnissen statt und schützen so sensible Bereiche Ihres Dateisystems.
• Standardisierte API: Einheitliche Werkzeuge (read_file, write_file, etc.), zugänglich über eine gemeinsame Schnittstelle.
• Sicherheitsorientiertes Design: Operationen sind auf erlaubte Verzeichnisse beschränkt; Features wie schreibgeschützte Einbindungen werden unterstützt.
• Flexible Integration: Kompatibel mit verschiedenen Umgebungen, darunter Docker, NPX, VS Code und Claude Desktop.

Der MCP-Dateisystemserver erklärt

Der MCP-Dateisystemserver ist eine Node.js-Implementierung, die speziell für Dateisystem-Operationen im Rahmen des Model Context Protocol entwickelt wurde. Er stellt ein umfassendes Toolkit zur Verfügung, um kontrolliert mit Dateien und Verzeichnissen zu arbeiten.

Verfügbare Tools im MCP-Dateisystemserver

Hier ein Überblick über die Kernfunktionen:

• read_file: Liest Dateiinhalte mit UTF-8-Codierung aus
• read_multiple_files: Verarbeitet mehrere Dateien gleichzeitig und setzt bei Einzelfehlern fort
• write_file: Erstellt neue Dateien oder überschreibt bestehende
• edit_file: Ermöglicht gezielte Bearbeitungen mit Mustererkennung, inklusive Testlauf und Git-ähnlichem Diff-Output
• create_directory: Erstellt Verzeichnisse, optional auch übergeordnete Ordner
• list_directory: Zeigt Verzeichnisinhalte mit klaren [FILE]- oder [DIR]-Präfixen an
• move_file: Verschiebt oder benennt Dateien und Verzeichnisse um
• search_files: Durchsucht rekursiv nach Treffern, unterstützt Ausschlussmuster
• get_file_info: Ruft Metadaten wie Größe, Erstellungszeit und Berechtigungen ab
• list_allowed_directories: Zeigt alle zugänglichen Verzeichnisse transparent an

Alle diese Tools sind über die Ressource file://system zugänglich, welche die Schnittstelle für MCP-Dateisystem-Operationen bildet.

MCP mit Claude verwenden

Um die Funktionsweise von MCP in der Praxis zu verdeutlichen, führen wir ein reales Beispiel durch und nutzen dabei den MCP-Dateisystemserver mit Claude, einem KI-Assistenten, um typische Dateisystem-Operationen auszuführen.

Schritt 1: Erlaubte Verzeichnisse auflisten

Der erste Schritt bestand darin, zu ermitteln, auf welche Verzeichnisse Claude zugreifen kann. Wir haben das Tool list_allowed_directories verwendet, das zwei erlaubte Speicherorte offenbarte:

• /Users/arshia/Desktop
• /Users/arshia/Downloads

Dies bestätigte, dass Claudes Operationen nur auf diese Verzeichnisse beschränkt waren und der Rest des Dateisystems geschützt bleibt.

Schritt 2: Verzeichnisinhalte erkunden

Als Nächstes nutzten wir das Tool list_directory, um zu sehen, welche Dateien vorhanden sind. Die Ergebnisse zeigten:

Für /Users/arshia/Desktop:

• [FILE] DS_Store
• [FILE] localized

Für /Users/arshia/Downloads:

• [FILE] DS_Store
• [FILE] localized
• [DIR] Visual Studio Code.app
• [FILE] shrek.txt
• [FILE] claudes diary.pages
• [FILE] diary.pdf

Dabei wurde eine Datei namens shrek.txt im Downloads-Verzeichnis entdeckt, neben weiteren Dateien und einem Verzeichnis für Visual Studio Code.

Screenshot, der die list_directory-Anfragen und -Antworten für die Desktop- und Downloads-Verzeichnisse zeigt

Schritt 3: Versuch, eine Datei zu lesen

Nachdem shrek.txt identifiziert war, haben wir versucht, deren Inhalt mit dem Tool read_file auszulesen. Anfangs gaben wir nur den Dateinamen shrek.txt an, in der Annahme, das Tool würde in den erlaubten Verzeichnissen suchen.

Dies führte zu einem Fehler:
„Access denied – path outside allowed directories: /shrek.txt not in /Users/arshia/Desktop, /Users/arshia/Downloads.“
Der Fehler trat auf, weil MCP aus Sicherheitsgründen vollständige Dateipfade verlangt.

Bild 2: Screenshot des fehlgeschlagenen read_file-Versuchs und der Fehlermeldung

Schritt 4: Erfolgreiches Auslesen der Datei

Nach Anpassung unserer Vorgehensweise gaben wir den vollständigen Pfad /Users/arshia/Downloads/shrek.txt für das Tool read_file an. Dieses Mal klappte die Operation und gab den Dateiinhalt zurück:

Request
{
  `path`: `/Users/arshia/Downloads/shrek.txt`
}
Response

Can you see what im writing here? If you do check this out: 

⢀⡴⠑⡄⠀⠀⠀⠀⠀⠀⠀⣀⣀⣤⣤⣤⣀⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ 
⠸⡇⠀⠿⡀⠀⠀⠀⣀⡴⢿⣿⣿⣿⣿⣿⣿⣿⣷⣦⡀⠀⠀⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠑⢄⣠⠾⠁⣀⣄⡈⠙⣿⣿⣿⣿⣿⣿⣿⣿⣆⠀⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⢀⡀⠁⠀⠀⠈⠙⠛⠂⠈⣿⣿⣿⣿⣿⠿⡿⢿⣆⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⢀⡾⣁⣀⠀⠴⠂⠙⣗⡀⠀⢻⣿⣿⠭⢤⣴⣦⣤⣹⠀⠀⠀⢀⢴⣶⣆ 
⠀⠀⢀⣾⣿⣿⣿⣷⣮⣽⣾⣿⣥⣴⣿⣿⡿⢂⠔⢚⡿⢿⣿⣦⣴⣾⠁⠸⣼⡿ 
⠀⢀⡞⠁⠙⠻⠿⠟⠉⠀⠛⢹⣿⣿⣿⣿⣿⣌⢤⣼⣿⣾⣿⡟⠉⠀⠀⠀⠀⠀ 
⠀⣾⣷⣶⠇⠀⠀⣤⣄⣀⡀⠈⠻⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡇⠀⠀⠀⠀⠀⠀ 
⠀⠉⠈⠉⠀⠀⢦⡈⢻⣿⣿⣿⣶⣶⣶⣶⣤⣽⡹⣿⣿⣿⣿⡇⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⠀⠀⠉⠲⣽⡻⢿⣿⣿⣿⣿⣿⣿⣷⣜⣿⣿⣿⡇⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⠀⠀⢸⣿⣿⣷⣶⣮⣭⣽⣿⣿⣿⣿⣿⣿⣿⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⣀⣀⣈⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠇⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⢿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⠃⠀⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⠀⠹⣿⣿⣿⣿⣿⣿⣿⣿⣿⣿⡿⠟⠁⠀⠀⠀⠀⠀⠀⠀⠀⠀ 
⠀⠀⠀⠀⠀⠀⠀⠀⠉⠛⠻⠿⠿⠿⠿⠛⠉

Shrek

• Eine Frage, ob der Leser sehen kann, was geschrieben wurde
• ASCII-Art, die Shreks Gesicht darstellt
• Der Text „Shrek“ am Ende

Die erfolgreiche Operation bestätigte, dass MCP Dateien auslesen kann, wenn der korrekte Pfad innerhalb erlaubter Verzeichnisse angegeben wird.

Zentrale Erkenntnisse aus unserem Beispiel

Dieses praktische Beispiel verdeutlicht mehrere wichtige Aspekte bei der Nutzung von MCP:

1. Vollständige Pfade sind erforderlich: Tools wie read_file benötigen vollständige Dateipfade, keine bloßen Dateinamen.
2. Sandboxing ist effektiv: Der anfängliche Fehlschlag zeigte, dass das Sicherheitsmodell von MCP wie vorgesehen funktioniert.
3. Iteratives Erkunden ist sinnvoll: Mit Verzeichnislisten-Tools lässt sich das Dateisystem zielgerichtet erschließen.

Best Practices für die MCP-Implementierung

Basierend auf unseren Erfahrungen und den Funktionen des MCP-Dateisystemservers empfehlen wir folgende bewährte Methoden:

• Immer zuerst Berechtigungen prüfen: Nutzen Sie list_allowed_directories, bevor Sie Operationen durchführen.
• Vollständige Dateipfade angeben: Geben Sie komplette Pfade an, um Fehler und Unklarheiten zu vermeiden.
• Testläufe für Bearbeitungen nutzen: Beim Einsatz von edit_file Änderungen mit dryRun: true vorab prüfen.
• Teilerfolge einplanen: Tools wie read_multiple_files arbeiten auch bei Einzelfehlern weiter.
• Minimalprinzip durchsetzen: Bei der Serverkonfiguration schreibgeschützte Einbindungen für Verzeichnisse nutzen, die nicht geändert werden sollen.

Fazit

Das Model Context Protocol (MCP) und sein Dateisystemserver bieten einen robusten, sicheren Ansatz für Dateisystem-Operationen in kontrollierten Umgebungen. Unser Beispiel mit Claude zeigt die praktische Nutzung von Tools wie list_directory und read_file und hebt wichtige Prinzipien wie die Nutzung vollständiger Pfade und das Verständnis von Berechtigungsgrenzen hervor.

Wenn Sie die hier beschriebenen Best Practices befolgen, können Sie MCP effektiv nutzen, um Dateisystem-Operationen sicher in Ihre Anwendungen oder Entwicklungsworkflows zu integrieren.

Für Entwickler, die MCP in eigenen Projekten einsetzen möchten, bietet die offizielle Dokumentation auf GitHub umfassende Details und Implementierungsanleitungen.