Adversa.AI обнаружила атаку TrustFall: Claude Code, Gemini CLI, Cursor CLI и Copilot CLI запускают MCP-серверы по одному нажатию Enter

Исследователи Adversa.AI выявили уязвимость TrustFall сразу в четырёх популярных агентских CLI для программирования: Claude Code, Gemini CLI, Cursor CLI и GitHub Copilot CLI. Атака позволяет вредоносному репозиторию автоматически запустить MCP-сервер с полными правами разработчика после единственного нажатия Enter на диалоге доверия. SecurityWeek предупреждает: индустрия стоит перед новым витком атак на цепочки поставок ПО.

Один Enter — и несандбоксированный процесс запущен

Сергей Маленкович, советник по коммуникациям Adversa, объяснил, что команда сначала проверила Claude Code, а затем прогнала ту же цепочку через Gemini CLI, Cursor CLI и Copilot CLI. Все четыре инструмента ведут себя одинаково: вредоносный репозиторий способен самостоятельно одобрить запуск MCP-сервера в момент, когда пользователь принимает запрос на доверие папке. По умолчанию во всех CLI предвыбран вариант «Yes/Trust».

Сам диалог Claude Code звучит обманчиво безобидно: «Quick safety check: Is this a project you created or one you trust?». На практике это похоже на предупреждение Chrome — пользователи почти всегда жмут «разрешить». Но в случае с агентским CLI последствия серьёзнее: одно нажатие порождает несандбоксированный процесс ОС с полными привилегиями разработчика, причём без какого-либо обращения к ИИ-модели.

Технически атака использует JSON-файлы в стандартных директориях Claude Code. Параметр enableAllProjectMcpServers в .claude/settings.json автоматически одобряет каждый сервер, описанный в проектном .mcp.json. Клонированный репозиторий получает произвольное выполнение кода ещё до того, как разработчик прочитает первую строчку. Маленкович подчёркивает: это не баг конкретно Claude Code, а конвенция, разделяемая всеми агентскими CLI.

Claude Code, запущенный в мае 2025 года, стал самым быстрорастущим инструментом в стартапах и инженерных командах. Adversa предупреждает: чем шире распространяются агенты, тем привлекательнее они становятся для атак на цепочку поставок. Кевин Таунсенд, автор материала SecurityWeek, отмечает, что обсуждение продолжится на AI Risk Summit в Хаф-Мун-Бэй.

Источник: https://www.securityweek.com/ai-coding-agents-could-fuel-next-supply-chain-crisis/