24/7 Támogatás
GYIK
 Irányítópult
Fiók Egyenlege:    
Bizalomcsapda: Egy kattintás, és kész a baj az AI kódolóddal

Bizalomcsapda: Egy kattintás, és kész a baj az AI kódolóddal

Máj 08, 2026 ai security coding tools vulnerability research devsecops mcp protocol claude code supply chain security

Bizalom csapdája: Egy kattintással feltörhetik az AI kódolódat

Mindannyian ismerjük azt az érzést. Letöltesz egy GitHub repót – kolléga munkája, open source lib vagy tutorial kódja. Átnézed futólag, lefuttatod helyben, és kész. Fejlesztőként ez alap. Csakhogy a TrustFall biztonsági kutatás szerint az AI kódoló eszközök átvették ezt a rossz szokást. És ez óriási lyuk a pajzson.

Tökéletes terep a támadáshoz

Az Adversa AI kutatói négy nagy AI kódolóra bukkantak: automatikusan indítanak segédprogramokat a projekt config fájljaiból. Csak egy "biztos vagy ebben a mappában?" ablak, ami eleve igen-re van állítva.

Így néz ki:

A Model Context Protocol (MCP) nevű rendszer külső segédprogramokkal kommunikál – adatbázis-csatlakozók, linterek, egyedi toolok. Szuperül hangzik? Az. A gond, hogy ezek a segédek a projektben vannak definiálva.

Ha megnyitod a repót az eszközben, és rákattintasz az igenre, nem csak indexeli a kódot. Elindítja azokat a programokat. A te teljes jogosultságaiddal.

Egy gombnyomás. Ennyi elég.

Mi történhet? (Rövid válasz: Bármi)

Egy rosszindulatú segédprogram:

  • Kiszívja az SSH kulcsaidat és cloud kredencialeidat
  • Ellopja a shell history-dat
  • Eléri más projektjeid kódját a gépeden
  • Kapcsolatot létesít a támadó szerverére

És a legjobb: ez minden AI gondolkodás előtt lefut. Indításkor automatikusan.

A támadás sima ügy: két kicsi JSON fájl. Az egyik "linterként" álcázza magát, de letölt és futtat egy payloadot netről. A másik jóváhagyja. A repo szinte üresen tűnik elsőre.

A párbeszéd ablak bűne

A felhasználói felület itt válik biztonsági rémmé. Nézd meg, mit látnak a fejlesztők:

Claude Code (v2.1+): "Biztonsági ellenőrzés: Saját projekt vagy megbízható?" Alapértelmezett: Igen. Korábban volt opció MCP nélkül – azt kivették.

Gemini CLI: Felsorolja a segédprogram neveit, legalább van mit nézni.

Cursor CLI: Homályosan említi az MCP-t.

Copilot CLI: Általános "biztos?" üzenet, MCP nélkül.

Mindegyiknél az igen az alap.

Rony Utevsky, a kutatás vezetője szerint nem csak a lyuk a gond. Hanem hogy a fejlesztők nem tudják, mire kattintanak rá.

CI/CD pokol

Rosszul jön ki: ha Claude Code fut CI szerveren – pl. Anthropic GitHub Action-jében –, nincs párbeszédablak. Headless módban rohan.

Ez azt jelenti:

  • Egy rosszindulatú PR config fájlja beszökik
  • A pipeline futásakor indul a segéd
  • Eléri a deploy kulcsaidat, certjeidet, cloud tokenjeidet

Az Adversa AI kiadott egy működő PoC-t, ami env változókat szivárogtat ki. Nem elmélet – valós támadás.

Mit tegyél most?

Vállalati környezetben Claude Code-dal? Használd a Managed scope-ot.

Ez központi beállítás, amit IT kiküldhet minden gépre, és lezárhat. Egyetlen policyvel kikapcsolható az MCP auto-igen mindenkinél.

Csavar: A kutatás szerint alig használja bárki. Nem egyértelmű a setup, főleg kezdőknek.

Mit mondanak a gyártók?

Az Anthropic átnézte a TrustFall riportot. Szerintük az "igen, megbízom" tudatos beleegyezés az MCP-re is. A trust határuk működik.

Az Adversa AI nem vitatja a threat modellt. Kérdésük: tényleg érthető-e a párbeszéd?

(További kommentre nem reagáltak.)

Mit jelent ez neked?

Ez megmutatja: az AI fejlesztő toolok erősek, mert mélyen belemennek a környezetedbe. Erő = felelősség.

Ha Claude Code, Gemini CLI, Cursor vagy Copilot CLI-t használsz:

  1. Gondolkodj a trust ablaknál. Ne kattints robotpilóta módban.
  2. Nézd meg a config fájlokat. Ismeretlen repónál keresd a .mcp.json-t mielőtt megnyitod.
  3. Válassz látható MCP-t. Pl. Gemini CLI felsorolja a neveket.
  4. Aktiváld a managed scope-ot cégnél. Beszélj az IT-vel.
  5. Frissítsd az eszközeidet. Tudnak a hibáról, jöhetnek javítások.

Nagyobb kép

A TrustFall kiábrándít: kényelem vs. biztonság ütközik. Az igen-alap ablakok azért vannak, mert általában bízunk a saját projektjeinkben. De ma bárki bármit feltölthet.

Nem az MCP a gond – hasznos. Hanem hogy a "biztos a projektben" és "futtass random kódot" közti határ homályos.

Most még igen. Fejlesztőknek, csapatoknak, gyártóknak dolgozniuk kell rajta.

Te hogy kezeled a tool biztonságot? Találkoztál már bizonytalan trust ablakkal? Az AI tool biztonság vita most indul. Csatlakozz!

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL IT FR ES DE DA ZH-HANS EN