24/7 поддръжка
ЧЗВ
 Контролен панел
Салдо на сметка:    
Капанът на доверието: Един клик, който руши твоя AI кодър

Капанът на доверието: Един клик, който руши твоя AI кодър

Май 08, 2026 ai security coding tools vulnerability research devsecops mcp protocol claude code supply chain security

Капанът на доверието: Един клик, който руши AI асистента ти за кодиране

Всеки разработчик го е правил. Клонираш репозиториум – от колега, open-source библиотека или туториал. Преглеждаш набързо, пускаш локално и продължаваш. Нищо ново. Но новото проучване TrustFall показва, че AI инструментите за кодиране са наследили този рисков навик. И сега е сериозна дупка в сигурността.

Идеална сцена за атака

Екипът от Adversa AI разкри проблем в четири големи AI инструмента за код. Те автоматично стартират helper програми от конфигурационните файлове на проекта. Често с един диалог "доверяваш ли папката?", който по подразбиране е да.

Така става:

Инструментите използват Model Context Protocol (MCP). Той позволява на AI да говори с външни програми – за бази данни, линтери или персонализирани инструменти. Полезно е. Проблемът? Тези програми са дефинирани в файлове вътре в проекта.

Когато отвориш репозиториума и потвърдиш доверието, системата не само индексира кода. Тя стартира helper-ите. С твоите пълни права.

Един клик. Нищо повече.

Какво може да се обърка (Всичко)

Злонамерен helper може да:

  • Извлече SSH ключове и cloud креденшъли
  • Открадне историята на шел-а ти
  • Достъпи код от други проекти на компютъра
  • Свърже се с сървъри на атакуващия

И ключовото: всичко това става преди AI да е анализирал и дума. Helper-ите тръгват веднага при стартиране.

Атаката е проста – два малки JSON файла. Единият дефинира "линтер", който тегли payload от мрежата и го пуска. Другият го одобрява автоматично. Репозиториумът изглежда празен на пръв поглед.

Проблемът с диалога

UX-ът тук е директна заплаха за сигурността. Виж какво виждат разработчиците:

Claude Code (v2.1+): "Бърза проверка: Твой проект или доверен?" По подразбиране: Да. По-старата версия имаше опция да довериш без MCP. Сега я няма.

Gemini CLI: Показва имената на helper-ите – поне можеш да провериш.

Cursor CLI: Споменава MCP неясно.

Copilot CLI: Общ диалог без дума за MCP.

Всички по подразбиране казват "доверявай".

Rony Utevsky от Adversa AI го казва ясно: Не става въпрос само за дупката. Разработчиците не разбират какво одобряват с "да".

Кошмарът с CI/CD

Още по-лошо в CI. Ако Claude Code работи на CI сървър – чрез официалния GitHub Action на Anthropic – няма диалог. Всичко е headless.

Резултат:

  • Злонамерен PR от външен внесе компрометиран config
  • Пайплайнът го пусне и helper-ът тръгне
  • Достъп до deploy ключове, сертификати и cloud токени

Adversa AI публикува PoC, който краде env променливи. Това не е хипотеза – реална атака.

Какво да направиш сега

В корпоративна среда с Claude Code има решение: Managed scope.

Централизирана настройка, която IT задава за всички машини и заключва. Един политик изключва auto-одобрението на MCP за целия екип.

Проблемът? Малко фирми я ползват. И настройката не е очевидна, особено за нови в AI кодинга.

Какво казват производителите

Anthropic прегледа TrustFall и отговарят: "Да, доверявам папката" означава съгласие за всичко в проекта, включително MCP. За тях границата работи както трябва.

Adversa AI не оспорва модела им. Въпросът е дали диалогът наистина информира.

(Anthropic не коментира допълнително.)

Какво значи това за теб

Тази дупка напомня: AI инструментите са мощни, защото копаят дълбоко в средата ти. Силата идва с отговорност.

Ако ползваш Claude Code, Gemini CLI, Cursor или Copilot CLI:

  1. Чети диалозите. Не кликай на автопилот.
  2. Проверявай config файловете. В непознат repo гледай .mcp.json преди AI.
  3. Искай видимост на MCP. Gemini CLI я дава.
  4. Aktтивирай managed scope. Говори с IT.
  5. Актуализирай инструментите. Вендорите знаят и може да подобрят.

По-широката картина

TrustFall показва сблъсъка: удобство срещу сигурност. Default-yes диалозите са за 99% доверени проекти. Но в свят, където всеки вижда кода на всеки, това е рискована залагане.

MCP и helper-ите са нужни – полезни са. Въпросът е дали "доверявам проекта" ясно води до "пускам произволен код".

Засега – не. Разработчици, екипи и фирми имат работа да свършат.

Как подхождаш към сигурността на инструментите? Натъквал ли си се на диалог, който те е объркал? Разговорът за безопасността на AI инструменти току-що започва. Бъди в него.

Read in other languages:

RU EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN