AI кодувальні CLI потрапляють під ризик TrustFall через одноразове виконання MCP сервера
Нові загрози для безпеки у термінальних інструментах для кодування: “TrustFall” у фокусі
Сучасний світ кодування безпосередньо залежить від розумних і ефективних інструментів, які значно спрощують роботу розробників. Одним з таких інструментів є термінальні інструменти для кодування, що постійно розвиваються. Проте, водночас з їх перевагами виникають і певні загрози безпеці.
Останні дослідження від Adversa виявили серйозну проблему безпеки під назвою “TrustFall”, яка стосується Claude Code, Gemini CLI, Cursor CLI та GitHub Copilot CLI. Проблема полягає в використанні серверів Model Context Protocol (MCP), які запускаються із-за недостатньо чіткого процесу отримання довіри від користувача.
Масштабна загроза при простій дії
Фахівці з’ясували, що ці інструменти можуть почати MCP сервера після того, як користувач схвалить запит на довіру до папки. Це відкриває шлях до виконання коду на рівні операційної системи без явного обмеження. Проблема найбільш актуальна для Claude Code, де запит про надану згоду на виконання коду всередині проекту був замінений на менш конкретний “Швидкий перевірочний діалог”.
Невидимі ризики в налаштуваннях проекту
На перший погляд невинні файли конфігурацій, такі як .mcp.json, можуть містити команди для запуску Node.js, Python або інших виконуваних скриптів. Шкідливий код може бути захований у аргументах команди, що зменшує ризик його виявлення.
Користувацькі запити на довіру сильно варіюються між інструментами. Gemini CLI надає найдокладніші попередження, зазначаючи сервери MCP за назвою, тоді як Claude Code і Copilot CLI більш загально просять підтвердити довіру до папки.
Рекомендації для підвищення безпеки
Адресувати дану загрозу можливо через декілька рекомендацій. По-перше, блокування налаштувань, що вмикають MCP, всередині файлової директорії проекту. Замість цього налаштування повинні запускатися з-поза контролю репозиторію. Цільова аудиторія – розробники та команди безпеки – повинні ретельно перевіряти .mcp.json та інші пов’язані конфігураційні файли перед виконанням коду.
Безпекові команди можуть налаштовувати централізовані політики для вимикання автоматичного схвалення MCP та обмеження дозволених серверів. Особлива увага має бути приділена, якщо Claude Code запускається в автоматизованих середовищах, що мають доступ до проєктних секретів. Створенню CI/CD-керувань слід приділити особливу увагу, включаючи обмеження на неперевірені гілки та ізоляцію конфіденційної інформації.
Часом одна натиснута клавіша Enter може відкрити двері до небажаних наслідків, і саме зараз сезон активних дій для розробників, які повинні уважно стежити за безпекою своїх проектів.
