WebMCP: Die umfassende Analyse des neuen Standards für das agentische Web

Einleitung: Wenn KI aufhört, Mensch zu spielen

Am 10. Februar 2026 veröffentlichte das Chrome-Team eine Ankündigung, die als stiller Paradigmenwechsel in die Geschichte des Webs eingehen könnte . Mit der Early Preview von WebMCP (Web Model Context Protocol) in Chrome 146 beginnt eine neue Ära der Mensch-KI-Interaktion: Künstliche Intelligenzen müssen nicht länger „so tun, als wären sie Menschen“, indem sie Bildschirmfotos analysieren, Button-Positionen erkennen und Mausklicks simulieren. Stattdessen erhalten sie einen direkten, strukturierten Zugang zur Funktionslogik von Websites .

Diese Entwicklung markiert das Ende einer merkwürdigen Zwischenphase der Digitalgeschichte: Jahrelang haben Entwickler raffinierte Systeme gebaut, um KI-Agenten beizubringen, Websites so zu bedienen, wie es Menschen tun – mit all den Unwägbarkeiten, die das mit sich bringt. Ein Agent, der einen Flug buchen soll, musste bisher den umständlichen Weg über das DOM (Document Object Model) gehen, Screenshots machen und hoffen, dass sich das Seitenlayout seit dem letzten Training nicht geändert hat . Dieses Vorgehen war nicht nur ineffizient, sondern auch anfällig für Fehler und teuer im Betrieb.

WebMCP verspricht, diesen „Pixel-Parsing-Albtraum“ zu beenden . Die grundlegende Idee ist ebenso einfach wie revolutionär: Websites können ihre Funktionen als strukturierte „Werkzeuge“ (Tools) für KI-Agenten bereitstellen – vergleichbar mit einer öffentlichen API, die direkt im Browser des Nutzers lebt .

Dieser Artikel bietet eine vollständige und tiefgehende Analyse des WebMCP-Protokolls. Er erläutert die technischen Grundlagen, die beteiligten Akteure, die Sicherheitsimplikationen und die weitreichenden Konsequenzen für Entwickler, Unternehmen und Nutzer. Dabei bleibt der Artikel stets ehrlich und aufrichtig: WebMCP ist ein Versprechen, kein fertiges Produkt – und mit jedem Versprechen gehen Chancen ebenso einher wie Risiken.

---

1. Die Grundlagen: Was ist WebMCP?

1.1 Definition und Kernkonzept

WebMCP (Web Model Context Protocol) ist ein vorgeschlagener JavaScript-basierter Webstandard, der es Websites ermöglicht, ihre Funktionalitäten als strukturierte Werkzeuge für KI-Agenten bereitzustellen . Das Protokoll wird aktuell von der W3C Web Machine Learning Community Group inkubiert, mit maßgeblicher Beteiligung von Entwicklern aus Google und Microsoft .

Der Kern des Konzepts lässt sich in einem Satz zusammenfassen: WebMCP ersetzt das „Raten“ durch „Wissen“. Anstatt dass ein KI-Agent eine Website visuell interpretieren oder das DOM nach bestimmten Elementen durchsuchen muss, erhält er eine klare, maschinenlesbare Beschreibung der verfügbaren Aktionen .

In den Worten des Developers Alex Volkov: „WebMCP ist die API im UI“ . Es ist eine Abstraktionsschicht, die die grafische Benutzeroberfläche für KI-Agenten durchlässig macht und den direkten Zugriff auf die dahinterliegende Logik ermöglicht.

1.2 Die Problemstellung: Warum WebMCP notwendig ist

Um die Bedeutung von WebMCP zu verstehen, muss man die Defizite der bisherigen Ansätze betrachten. Vor WebMCP gab es im Wesentlichen zwei Wege, KI-Agenten mit Websites interagieren zu lassen:

Ansatz	Funktionsweise	Probleme
Screen-Scraping / Visuelle Automation	Agent nimmt Screenshots auf, identifiziert Button-Positionen (z.B. via Computer Vision), simuliert Klicks und Tastatureingaben	Hohe Kosten (tausende Tokens pro Session), instabil bei Layout-Änderungen, langsame Feedback-Schleifen
DOM-Scraping / Strukturanalyse	Agent analysiert den HTML-Code, sucht nach bestimmten IDs, Klassen oder Strukturen und interagiert programmatisch	Anfällig für Code-Änderungen, keine semantische Bedeutung der Elemente, aufwendige Fehlerbehandlung

Die zugrundeliegende Herausforderung formulierte der Google-Softwareingenieur Khushal Sagar prägnant: Das Web wurde für Menschen gebaut, nicht für Agenten . Buttons, Formulare und visuelle Abläufe wurden für klickende und lesende Menschen entworfen – nicht für programmatische Interaktion.

Hinzu kommt ein weiterer Faktor: Die Menge an automatisiertem Web-Traffic hat längst die der menschlichen Nutzer überholt. Laut Imperva stammen inzwischen 51% des weltweiten Web-Traffics von Bots . Viele dieser Bots führen genau die repetitiven Screenshot-und-Klick-Operationen durch, die WebMCP ersetzen soll.

1.3 Die Lösung: Das „Tool Contract“-Prinzip

WebMCP führt das Konzept des „Tool Contracts“ (Werkzeug-Vertrag) ein. Eine Website veröffentlicht eine klare, standardisierte Liste von Aktionen, die ein KI-Agent ausführen kann . Dieser Vertrag umfasst:

• Discovery: Welche Werkzeuge sind auf dieser Seite verfügbar? (z.B. produkt_suchen, in_den_warenkorb_legen, flug_buchen)
• JSON-Schemas: Wie genau sehen Ein- und Ausgaben aus? (strukturierte Parameter reduzieren Halluzinationen)
• State: Eine gemeinsame Basis über den aktuell verfügbaren Inhalt auf der Seite

Der Agent ruft dann nicht mehr „irgendeinen Button“ auf, sondern direkt eine Funktion wie book_flight({ origin: "MUC", destination: "LHR", outboundDate: "2026-04-15" }) .

---

2. Die technische Architektur von WebMCP

2.1 Die zwei APIs: Deklarativ und Imperativ

WebMCP bietet Entwicklern zwei unterschiedliche Zugangswege, um ihre Websites „agententauglich“ zu machen . Diese Zweiteilung ist bewusst gewählt, um sowohl einfache als auch komplexe Anwendungsfälle abzudecken.

2.1.1 Die Deklarative API

Die deklarative API erlaubt es, Standardaktionen direkt in HTML-Formularen zu definieren . Dies ist der einfachere der beiden Ansätze und eignet sich hervorragend für Websites, die bereits Formulare für Suchanfragen, Checkout-Prozesse oder Kontaktaufnahmen verwenden.

Entwickler können bestehende HTML-Formulare um Attribute erweitern, die dem Agenten signalisieren: „Hier handelt es sich um eine Aktion, die du ausführen kannst“. Der Vorteil liegt auf der Hand: Es ist kein zusätzliches JavaScript erforderlich, und die Integration kann mit minimalem Aufwand erfolgen .

Beispiel für einen deklarativen Ansatz:

html

<form action="/search" method="get" data-agent-tool="produktsuche">
  <input type="text" name="query" data-agent-param="suchbegriff" />
  <button type="submit">Suchen</button>
</form>

2.1.2 Die Imperative API

Die imperative API ist der Ort, an dem die eigentliche Magie für Entwickler stattfindet. Sie erlaubt die Definition komplexer, dynamischer Interaktionen über JavaScript . Das Herzstück dieser API lebt auf dem navigator.modelContext-Objekt, das einen ModelContextContainer bereitstellt.

Hier ein praktisches Beispiel für die Registrierung eines Tools für einen E-Commerce-Warenkorb :

javascript

if ('modelContext' in navigator) {
  navigator.modelContext.registerTool({
    name: 'add_to_cart',
    description: 'Fügt ein Produkt mit einer bestimmten ID und Menge in den Warenkorb ein',
    inputSchema: {
      type: 'object',
      properties: {
        productId: {
          type: 'string',
          description: 'Die eindeutige Produktkennung',
        },
        quantity: {
          type: 'number',
          description: 'Die Anzahl der zu bestellenden Einheiten',
        },
      },
      required: ['productId', 'quantity'],
    },
    async execute({ productId, quantity }) {
      const response = await fetch('/api/cart', {
        method: 'POST',
        headers: { 'Content-Type': 'application/json' },
        body: JSON.stringify({ productId, quantity }),
      });
      
      const result = await response.json();
      return { success: true, cartTotal: result.total };
    },
  });
}

Dieses Beispiel verdeutlicht die Eleganz des Ansatzes: Der Entwickler nutzt bestehende JavaScript-Logik, kapselt sie in einem standardisierten Container und macht sie so für KI-Agenten nutzbar .

2.2 Der Kommunikationsmechanismus: JSON-RPC

Die Kommunikation zwischen Agent und Website erfolgt über ein standardisiertes JSON-RPC-Protokoll . Dies gewährleistet eine zuverlässige, strukturierte Interaktion und erlaubt es, Anfragen und Antworten eindeutig zu identifizieren und zu verarbeiten.

2.3 WebMCP vs. Backend-MCP: Zwei Seiten derselben Medaille

Eine häufige Verwirrung entsteht durch die Namensähnlichkeit mit dem Model Context Protocol (MCP) von Anthropic . Die beiden Protokolle sind jedoch nicht identisch, sondern komplementär:

Aspekt	Backend-MCP (Anthropic)	WebMCP (Google/Microsoft/W3C)
Ausführungsort	Server-seitig	Client-seitig (im Browser)
UI-Kontext	Kein gemeinsamer UI-Kontext	Gemeinsamer visueller Kontext mit dem Nutzer
Hauptsprache	Python/Node.js	JavaScript
Nutzerkontrolle	Begrenzt, oft automatisiert	Volle Sichtbarkeit und Eingriffsmöglichkeit
Setup	Separater Server erforderlich	Direktes Frontend-Add-on
Authentifizierung	Eigene Auth-Logik nötig	Nutzt bestehende Browser-Session

Tabelle basierend auf 

Die klare Trennung ist wichtig: Backend-MCP ist für Server-zu-Server-Kommunikation gedacht, während WebMCP für Interaktionen im Browser konzipiert ist, bei denen der Nutzer anwesend ist und die Kontrolle behalten soll . Zusammen bilden sie die Infrastruktur für Agenten, um sowohl mit Backend-Systemen als auch mit Frontend-Oberflächen zu interagieren .

---

3. Die Akteure und der Standardisierungsprozess

3.1 Die treibenden Kräfte: Google und Microsoft

WebMCP ist kein Soloprojekt eines einzelnen Unternehmens. Bereits am 13. August 2025 reichten Entwickler von Google und Microsoft gemeinsam das WebMCP-Projekt auf GitHub ein . Die beteiligten Ingenieure sind :

Von Microsoft:

• Brandon Walderman
• Leo Lee
• Andrew Nolan

Von Google:

• David Bokan
• Khushal Sagar
• Hannah Van Opstal

Diese branchenübergreifende Zusammenarbeit ist bemerkenswert, da Google und Microsoft in vielen anderen Bereichen direkte Konkurrenten sind. Dass sie hier gemeinsame Sache machen, unterstreicht die strategische Bedeutung des Themas.

3.2 Der W3C-Prozess: Vom Entwurf zum Standard

Die Spezifikation befindet sich in aktiver Entwicklung bei der W3C Web Machine Learning Community Group . Am 12. Februar 2026 wurde ein erster Entwurf als „Draft Community Group Report“ veröffentlicht . Wichtig ist die Klarstellung: Dies ist noch kein offizieller W3C-Standard, sondern ein Dokument, das die bisherigen Arbeiten der Community zusammenfasst .

Der Standardisierungsprozess wird voraussichtlich mehrere Monate bis Jahre in Anspruch nehmen. Formelle Browser-Ankündigungen werden für Mitte 2026 erwartet, möglicherweise im Rahmen der Google I/O .

3.3 Die Marktmacht: Chrome und Edge als Türöffner

Ein entscheidender Faktor für die potenzielle Durchsetzungskraft von WebMCP ist die Marktdominanz der beteiligten Browser. Chrome und Edge kontrollieren gemeinsam fast 75 Prozent des globalen Browsermarktes . Wenn Google und Microsoft WebMCP in ihren Browsern implementieren, entsteht ein De-facto-Standard – unabhängig davon, ob andere Browser-Anbieter wie Apple (Safari) oder Mozilla (Firefox) nachziehen .

3.4 Die Community-Ergänzung: MCP-B

Parallel zur offiziellen Standardisierung hat die Community das Projekt MCP-B (Model Context Protocol for the Browser) entwickelt . Dieses Projekt verfolgt zwei Ziele:

1. Implementierung als Polyfill: MCP-B fügt navigator.modelContext in Browsern hinzu, die die API noch nicht nativ unterstützen 
2. Ökosystem-Aufbau: Entwicklung von SDKs und Browser-Erweiterungen, die die Nutzung von WebMCP vereinfachen 

MCP-B ist damit die Brücke zwischen heutigen Browsern und der WebMCP-Zukunft.

---

4. Anwendungsfälle und Praxisbeispiele

Die Einsatzmöglichkeiten von WebMCP sind vielfältig. Die offizielle Ankündigung nennt drei Hauptdomänen , die hier detailliert betrachtet werden.

4.1 E-Commerce: Die nahtlose Bestellung

Das Szenario: Ein Nutzer möchte ein bestimmtes Produkt kaufen, möglichst günstig und mit bestimmten Optionen (Farbe, Größe, Lieferadresse).

Ohne WebMCP: Der Agent öffnet die Website, wartet auf das Laden aller Elemente, sucht nach dem Suchfeld (über Bilderkennung oder DOM-Parsing), gibt den Produktnamen ein, wartet auf die Suchergebnisse, identifiziert den richtigen Treffer (oft über mehrere Seiten hinweg), navigiert zur Produktseite, sucht den „In den Warenkorb“-Button, findet das Warenkorbsymbol, klickt zur Kasse, füllt Formulare aus… Jeder Schritt kann fehlschlagen, wenn sich das Layout minimal ändert oder ein Element nicht sofort sichtbar ist .

Mit WebMCP: Die Website stellt klar definierte Tools bereit: search_products, add_to_cart, get_cart, checkout. Der Agent ruft diese Tools nacheinander auf, erhält strukturierte Antworten und kann den gesamten Prozess in Sekundenbruchteilen und mit absoluter Präzision durchführen .

Laut ersten Tests können die Token-Kosten durch diesen Ansatz um bis zu 89 Prozent gesenkt werden, da keine aufwendige Bildverarbeitung mehr nötig ist .

4.2 Reisebuchung: Präzision statt Ratespiel

Das Szenario: Ein Nutzer möchte einen komplexen Flug mit Zwischenstopps und bestimmten Sitzplatzpräferenzen buchen.

Mit WebMCP: Die Fluggesellschaft stellt Tools bereit wie search_flights, filter_by_price, select_seats, book_flight. Der Agent kann präzise Anfragen stellen und erhält strukturierte Antworten, die keine Interpretationsspielräume lassen . Das ist besonders wichtig bei Reisebuchungen, wo falsche Daten oder Termine erhebliche Folgeprobleme verursachen können .

4.3 Kundenservice: Automatisierte Support-Tickets

Das Szenario: Ein Nutzer hat ein technisches Problem mit einem Produkt und möchte ein Support-Ticket erstellen.

Mit WebMCP: Die Support-Seite stellt ein Tool create_support_ticket bereit, das automatisch technische Details erfasst (Browser-Version, Betriebssystem, Fehlermeldungen) und strukturiert an das Ticketsystem übergibt . Der Nutzer muss nur noch das eigentliche Problem in eigenen Worten beschreiben – der Agent erledigt den Rest.

4.4 Praktisches Beispiel aus der Grafikdesign-Plattform

Ein besonders anschauliches Beispiel liefert die Dokumentation einer Grafikdesign-Plattform :

javascript

// Tool-Registrierung für eine Design-Plattform
navigator.ai.registerTool({
  name: "filterTemplates",
  description: "Filtert Vorlagen basierend auf einer visuellen Beschreibung",
  parameters: {
    description: { 
      type: "string", 
      description: "Beschreibung der gewünschten Vorlagen in natürlicher Sprache" 
    }
  },
  handler: async (params) => {
    // Implementierungslogik
    const filteredTemplates = await templateService.filterByDescription(params.description);
    return { templates: filteredTemplates };
  }
});

Ein Nutzer kann dann seinen Agenten beauftragen: „Zeige mir frühlingsbezogene Vorlagen mit weißem Hintergrund.“ Der Agent ruft filterTemplates mit der entsprechenden Beschreibung auf, und die Benutzeroberfläche aktualisiert sich sofort – ohne dass der Agent auch nur einen einzigen Button visuell identifizieren musste .

---

5. Sicherheit: Das Fundament muss halten

Sicherheit ist bei WebMCP kein nachträglicher Gedanke, sondern muss von Grund auf im Design verankert sein. Die Architektur schafft neue Angriffsflächen, die in traditionellen Web-Anwendungen nicht existieren.

5.1 Das besondere Bedrohungsmodell

Die Sicherheitsarchitektur von WebMCP muss ein einzigartiges Problem lösen: Ein KI-Agent kann gleichzeitig mit mehreren Websites verbunden sein . Stellen Sie sich vor, ein Nutzer hat mehrere Tabs geöffnet:

• Tab 1: Die vertrauenswürdige Bank-Website (mit WebMCP-Tools für Überweisungen)
• Tab 2: Eine unseriöse Nachrichtenseite (mit potenziell schädlichen WebMCP-Tools)
• Tab 3: Ein E-Mail-Programm (mit WebMCP-Tools zum Lesen von Nachrichten)

Der Agent im Browser hat potenziell Zugriff auf alle Tools aus allen Tabs. Eine kompromittierte oder bösartige Website könnte versuchen, die Tools der anderen Websites zu missbrauchen .

5.2 Die „Lethal Trifecta“ der Prompt Injection

Eine der größten Bedrohungen für KI-Agenten ist die Prompt Injection – die Manipulation des Agenten durch gezielt gestaltete Eingaben . Die gefährlichsten Szenarien entstehen, wenn drei Bedingungen zusammentreffen :

1. Zugriff auf private Nutzerdaten – Tools, die auf persönliche Informationen zugreifen (E-Mails, Nachrichten, Profile)
2. Verarbeitung unvertrauter Inhalte – Der Agent verarbeitet Inhalte aus potenziell schädlichen Quellen
3. Externe Kommunikationsfähigkeit – Die Möglichkeit, Daten aus dem Browser des Nutzers nach außen zu senden

Wenn alle drei Bedingungen erfüllt sind, kann ein Angreifer den Agenten durch geschickte Prompt Injection dazu bringen, vertrauliche Daten an einen externen Server zu senden .

5.3 Sicherheits-Prinzipien für Entwickler

Die offizielle Dokumentation formuliert klare Prinzipien für Entwickler :

5.3.1 Keine sensiblen Daten an Agenten übergeben

Die wichtigste Regel: Sensible Informationen dürfen NIEMALS direkt an den Kontext des KI-Agenten übergeben werden . Ein kompromittierter Agent könnte diese Daten exfiltrieren.

Gefährlicher Code (NICHT VERWENDEN):

javascript

// ❌ GEFÄHRLICH: Sensible Daten direkt an potenziell kompromittierten Agenten
async execute() {
  const messages = await getPrivateMessages();
  return {
    content: [{
      type: "text",
      text: JSON.stringify(messages)  // NIEMALS so!
    }]
  };
}

Sicherer Code mit Referenzen:

javascript

// ✅ SICHER: Verwendung von Referenzen statt Rohdaten
async execute() {
  const messages = await getPrivateMessages();
  const dataRef = await storeSecureData(messages, window.location.origin);
  
  return {
    content: [{
      type: "reference",
      id: dataRef.id,
      description: "Private Nachrichten (10 Einträge)",
      requiresUserConsent: true  // Nutzer muss explizit zustimmen
    }]
  };
}

5.3.2 Ehrliche Tool-Beschreibungen und Annotationen

Bösartige Websites könnten Tools mit irreführenden Beschreibungen bereitstellen – zum Beispiel ein Tool, das sich als „add_to_cart“ bezeichnet, tatsächlich aber einen Kauf abschließt und die Zahlungsmethode des Nutzers belastet .

Die Lösung: Annotationen, die das tatsächliche Verhalten transparent machen :

javascript

// ✅ EHRLICH: Beschreibung und Annotationen entsprechen dem Verhalten
navigator.modelContext.registerTool({
  name: 'complete_purchase',
  description: 'Kauf abschließen und Zahlungsmethode belasten',
  annotations: {
    destructiveHint: true,  // Unumkehrbar!
    readOnlyHint: false
  },
  // ... weiterer Code
});

5.3.3 Schutz vor User Fingerprinting

Ein weiteres Risiko ist das „User Fingerprinting“ über überladene Tool-Parameter . Bösartige Websites könnten Tools so gestalten, dass sie detaillierte persönliche Informationen abfragen, um Nutzer zu profilieren:

javascript

// ❌ VERWUNDBAR: Zu viele persönliche Parameter
inputSchema: {
  type: "object",
  properties: {
    age: { type: "number" },
    income: { type: "number" },
    location: { type: "string" },
    interests: { type: "array" }
  }
}

Die Lösung: Nur wirklich notwendige Parameter abfragen und die Nutzerauthentifizierung serverseitig vornehmen .

5.4 Reale Sicherheitsvorfälle als Warnung

Dass diese Bedrohungen nicht theoretischer Natur sind, zeigt ein Sicherheitsvorfall vom September 2025. Forscher des Unternehmens IONIX entdeckten öffentlich zugängliche, ungeschützte MCP-Server, die keinerlei Authentifizierung verlangten .

Die Angreifer konnten:

• Vorhandene Tools auf dem Server auflisten
• Den Agenten anweisen, eine beliebige URL zu besuchen
• Durch geschickte Prompt Injection den Browser des Agenten dazu bringen, lokale Dateien (/etc/passwd) auszulesen
• Diese Daten an einen externen Server zu übermitteln

Besonders perfide: Die Forscher umgingen die vorhandenen WAF-Regeln (Web Application Firewall), indem sie die schädlichen Anweisungen nicht direkt übergaben, sondern auf einer eigenen Domain hosteten und der Agent diese erst beim Besuch der URL abrief .

Dieser Vorfall zeigt, dass Prompt Injection nach wie vor ein weitgehend ungelöstes Sicherheitsproblem für KI-Systeme ist .

5.5 Die defensive Checkliste für WebMCP-Implementierungen

Basierend auf den Erfahrungen realer Sicherheitsvorfälle empfehlen Experten eine mehrschichtige Verteidigungsstrategie :

• Authentifizierung und Least Privilege: Keine öffentlich zugänglichen MCP-Endpunkte. Implementierung von mTLS/OAuth und rollenbasierten Zugriffsrechten.
• Blockierung gefährlicher Ziele: Ablehnung von Tasks, die file://, localhost, 127.0.0.1 oder interne IP-Adressen enthalten.
• Containerisierung: Ausführung jedes Agenten in ephemeren, sandboxed Containern (non-root, ohne Host-Mounts).
• Egress-Kontrolle: Routing des gesamten Agenten-Traffics durch eine Corporate Proxy/Allowlist.
• Nutzungslimits: Ratenbegrenzung pro Schlüssel, Token- und Compute-Kontingente.
• Content-Sanitisierung: Behandlung aller vom Agenten abgerufenen Inhalte als potenziell schädlich.
• Monitoring: Protokollierung aller Tool-Aufrufe, URLs und Token-Nutzung; Alarmierung bei Anomalien.

---

6. WebMCP und die Transformation der digitalen Wirtschaft

6.1 SEO 2.0: Das Ende der Suchmaschinenoptimierung, wie wir sie kennen

Eine der tiefgreifendsten Auswirkungen von WebMCP betrifft die Suchmaschinenoptimierung (SEO). Shelly Palmer, Professor an der Syracuse University, bezeichnet WebMCP als „den größten technischen Wandel im SEO seit Einführung strukturierter Daten“ .

Bisher ging es bei SEO darum, Websites für Menschen lesbar und für Suchmaschinen interpretierbar zu machen. Mit WebMCP verschiebt sich der Fokus: Websites müssen auch für KI-Agenten nutzbar sein .

Dies könnte zur Entstehung eines zweigeteilten Webs führen :

• Das menschliche Web: Schön gestaltet, visuell ansprechend, mit emotionaler Ansprache
• Das agentische Web: Strukturiert, maschinenlesbar, mit klaren Tool-Verträgen

Unternehmen, die ihre Websites frühzeitig „agentenfit“ machen, könnten von KI-Assistenten bevorzugt werden . Wer diese Entwicklung verschläft, riskiert, im agentischen Web unsichtbar zu werden.

6.2 Die Discovery-Frage: Wie finden Agenten die richtigen Tools?

WebMCP löst die Ausführung von Tools – aber wie finden KI-Agenten überhaupt die richtigen Websites und deren Fähigkeiten? Hier kommt ein ergänzendes Konzept ins Spiel: agenticweb.md .

agenticweb.md ist ein maschinenlesbarer Discovery-Standard, der als „Eingangstür“ für KI-Agenten fungiert . Er bietet:

• Zentrale Discovery: Agenten können automatisch verfügbare Funktionen, APIs und WebMCP-Tools einer Website entdecken
• Multi-Site-Orchestrierung: Besonders wertvoll für Organisationen mit vielen Websites – ein einziger Discovery-Punkt für alle Fähigkeiten
• Semantische Metadaten: Beschreibung von Zweck, Berechtigungen und Nutzungsbedingungen der angebotenen Services

Das perfekte Zusammenspiel wäre :

• agenticweb.md = Discovery-Layer („Welche Websites/Tools gibt es?“)
• WebMCP = Execution-Layer („Wie führe ich die Tools aus?“)

6.3 Auswirkungen auf Marketing und Werbung

Die Marketingindustrie bereitet sich bereits auf die agentische Zukunft vor . Yahoo DSP integrierte bereits im Januar 2026 KI-Agenten direkt in seine Demand-Side-Plattform. Der Ad Context Protocol wurde im Oktober 2025 von sechs Technologieunternehmen ins Leben gerufen, um einheitliche Schnittstellen für KI-Agenten über verschiedene Werbeplattformen hinweg zu schaffen.

Für Werbetreibende ergeben sich neue Fragen:

• Wie optimiert man Kampagnen für KI-Agenten, die im Auftrag von Nutzern einkaufen?
• Wie misst man den Erfolg, wenn nicht mehr der Mensch, sondern ein Agent die Kaufentscheidung trifft?
• Wie verhindert man Betrug durch bösartige Agenten?

6.4 Chancen für Barrierefreiheit (Accessibility)

Ein oft übersehener Aspekt von WebMCP ist das Potenzial für verbesserte Barrierefreiheit . Assistive Technologien (wie Screenreader) erhalten durch WebMCP Zugang zu höherstufigen Aktionen – ein Quantensprung für Menschen mit Behinderungen.

Bisher mussten assistive Technologien mühsam durch die visuelle Oberfläche navigieren. Mit WebMCP können sie direkt auf die strukturierten Funktionen zugreifen .

---

7. Kritische Würdigung und offene Fragen

Eine ehrliche Betrachtung von WebMCP muss auch die offenen Fragen und potenziellen Probleme adressieren.

7.1 Der aktuelle Status: Early Preview, nicht produktionsreif

WebMCP befindet sich im März 2026 in einem sehr frühen Stadium . Die Early Preview in Chrome 146 richtet sich an Entwickler, die experimentieren und Feedback geben möchten – nicht an produktive Einsätze. Die API-Oberfläche kann und wird sich wahrscheinlich noch ändern .

7.2 Fragmentierungsrisiko: Was tun andere Browser?

Während Google und Microsoft an einem Strang ziehen, ist die Position von Apple (Safari) und Mozilla (Firefox) noch unklar . Sollten diese Browser sich für alternative Ansätze entscheiden, droht eine Fragmentierung des agentischen Webs. Mozilla hat zwar eine Neuausrichtung auf KI angekündigt, aber noch keine konkreten Pläne für WebMCP vorgelegt .

7.3 Ungeklärte Sicherheitsfragen

Die Sicherheitsdokumentation von WebMCP enthält noch kein vollständiges Sicherheitskonzept . Insbesondere die Frage, wie der Browser als Vermittler zwischen Nutzer, vertrauenswürdigen und potenziell bösartigen Agenten fungieren soll, ist noch nicht abschließend geklärt .

Der Sicherheitsforscher Akshay Pachaar formulierte es im Juli 2025 drastisch: „MCP-Sicherheit ist völlig kaputt“ . Ob WebMCP diese Schwachstellen adressieren kann, bleibt abzuwarten.

7.4 Die Kontrollfrage: Wer hat die Hoheit über den Agenten?

Ein grundlegendes Spannungsfeld besteht zwischen Automation und Nutzerkontrolle. WebMCP ist zwar für kollaborative Szenarien konzipiert („Human-in-the-Loop“) , aber die Praxis könnte anders aussehen. Wenn Agenten immer komplexere Aufgaben übernehmen, besteht die Gefahr, dass Nutzer die Kontrolle verlieren – oder dass Agenten Entscheidungen treffen, die nicht im Interesse des Nutzers sind.

---

8. Zukunftsausblick: Die Roadmap von WebMCP

8.1 Kurzfristige Entwicklungen (2026)

Für das Jahr 2026 sind folgende Meilensteine zu erwarten :

• Q2 2026: Formelle Ankündigungen auf der Google I/O, möglicherweise Erweiterung der Early Preview
• Q3/Q4 2026: Fortschreibung der W3C-Spezifikation, erste Implementierungen in Edge
• Laufend: Weiterentwicklung der Community-Projekte (MCP-B, agenticweb.md)

8.2 Mittelfristige Perspektiven (2027-2028)

In den kommenden Jahren sind folgende Erweiterungen geplant :

• PWA-Integration: Progressive Web Apps sollen offline-fähige KI-Tools erhalten
• Service Worker Support: Persistente Hintergrund-Funktionalität für Agenten
• Erweiterte Sicherheitsmodelle: Für komplexe Multi-Site-Szenarien
• Standardisierung: Offizieller W3C-Standard (angestrebt)

8.3 Langfristige Vision: Das agentische Web

Die langfristige Vision hinter WebMCP ist die Transformation des Webs von einer reinen Benutzeroberfläche für Menschen zu einer kollaborativen Plattform für Menschen und KI-Agenten . In dieser Vision :

• Teilen sich Nutzer, Webseiten und Agenten die Benutzeroberfläche und arbeiten zusammen
• Stellen Entwickler neben der menschlichen UI einen strukturierten API-Pfad für Agenten bereit
• Werden Agenten zu „Erstklassigen Bürgern“ des Netzes

---

9. Fazit und Handlungsempfehlungen

9.1 Zusammenfassung der wichtigsten Erkenntnisse

WebMCP ist mehr als nur ein weiteres Protokoll – es ist eine fundamentale Neuausrichtung der Mensch-KI-Interaktion im Web . Die wichtigsten Punkte im Überblick:

• Paradigmenwechsel: Weg von fragiler Screen-Automation, hin zu strukturierten Tool-Verträgen 
• Technische Basis: Zwei APIs (deklarativ/imperativ) auf Basis von navigator.modelContext 
• Akteure: Entwickelt von Google und Microsoft, inkubiert bei der W3C 
• Sicherheit: Neue Bedrohungsmodelle erfordern durchdachte Schutzmechanismen 
• Potenzial: Transformation von E-Commerce, Reisebuchung, Kundenservice und Barrierefreiheit 
• Offene Fragen: Standardisierungsprozess, Browser-Fragmentierung, finale Sicherheitskonzepte 

9.2 Handlungsempfehlungen für verschiedene Zielgruppen

Für Entwickler:

• Die Early Preview in Chrome 146 ist eine Einladung zum Experimentieren 
• Das MCP-B-Projekt bietet eine Polyfill für heutige Browser 
• Sicherheitsprinzipien (keine sensiblen Daten, ehrliche Annotationen, minimale Parameter) sollten von Anfang an beachtet werden 

Für Unternehmen:

• WebMCP-Readiness könnte das neue SEO werden  
• Agenticweb.md bietet einen Ansatz für die Discovery eigener Angebote 
• Die Integration in bestehende Strategien sollte frühzeitig geprüft werden

Für Nutzer:

• WebMCP verspricht effizientere, zuverlässigere KI-Assistenten 
• Die Kontrolle über Agenten bleibt durch „Human-in-the-Loop“-Design erhalten 
• Datenschutz und Sicherheit müssen aktiv vom Nutzer eingefordert werden

9.3 Schlussbemerkung

WebMCP steht am Beginn einer Entwicklung, deren Ende wir noch nicht absehen können. Es ist ein Versprechen – auf effizientere Interaktion, auf nahtlose Zusammenarbeit zwischen Mensch und Maschine, auf ein Web, das nicht nur für Menschen, sondern auch für ihre digitalen Assistenten gemacht ist.

Ob dieses Versprechen eingelöst wird, hängt von vielen Faktoren ab: von der technischen Umsetzung, von der Sicherheitsarchitektur, von der Akzeptanz in der Entwickler-Community und nicht zuletzt vom Vertrauen der Nutzer. Die nächsten Monate und Jahre werden zeigen, ob WebMCP hält, was die Ankündigung vom Februar 2026 verspricht.

Eines ist jedoch schon heute klar: Die Ära, in der KI-Agenten mühsam „Mensch spielen“ mussten, neigt sich dem Ende zu. Das agentische Web beginnt – und WebMCP ist einer seiner Türöffner.

---

Quellenverzeichnis

1. 36Kr (2026). Google Chrome’s Late-Night Update: Agents No Longer Need to „Pretend“ to Be Human. [online] Verfügbar unter: https://eu.36kr.com/en/p/3678378253083529 
2. innFactory AI Consulting (2026). *WebMCP: Wie der vorgeschlagene W3C-Webstandard KI-Agenten und Websites revolutioniert.* [online] Verfügbar unter: https://innfactory.ai/de/blog/webmcp-w3c-webstandard-ki-agenten/ 
3. MCP-B Dokumentation (2023/2026). Security Best Practices. [online] Verfügbar unter: https://docs.mcp-b.ai/security 
4. Shelly Palmer (2026). WebMCP: A Protocol for Marketing to Bots. [online] Verfügbar unter: https://shellypalmer.com/2026/02/webmcp-a-protocol-for-marketing-to-bots/ 
5. iO Digital / Dave Bitter (2026). WebMCP: Making the web AI-agent ready. [online] Verfügbar unter: https://techhub.iodigital.com/articles/web-mcp-making-the-web-ai-agent-ready 
6. IONIX / Itay Paz Slavin, Tal Zamir (2025). Exposed AI Agents in the Wild: How a Public MCP Server Let Us Peek Inside Its Host. [online] Verfügbar unter: https://www.ionix.io/blog/exposed-ai-agents-in-the-wild-public-mcp-server-security-exposed/ 
7. ONES ISSUE (2026). WebMCP 早期预览版现已发布：开启 Web 应用与 AI 协作的新纪元. [online] Verfügbar unter: https://ones.com.cn/tech-news/webmcp-early-preview-guide-ai-model-context-protocol 
8. InfoWorld (2026). WebMCP API extends web apps to AI agents. [online] Verfügbar unter: https://www.infoworld.com/article/4133366/webmcp-api-extends-web-apps-to-ai-agents.html 
9. BAAI / Hub-Assets (2025). From Prompt Injections to Protocol Exploits: Threats in LLM-Powered AI Agents Workflows. [online] Verfügbar unter: https://hub-assets-cache.baai.ac.cn/paper/f4d5914a-d2f8-447e-9a6c-368b8148e4f5 
10. PPC Land (2026). Chrome’s WebMCP could end AI agents‘ pixel-parsing nightmare. [online] Verfügbar unter: https://ppc.land/chromes-webmcp-could-end-ai-agents-pixel-parsing-nightmare/