Past na důvěru: Jak jedno kliknutí ohrozí tvého AI programátora

Každý developer to zná. Stáhneš repo z GitHubu – od kolegy, open-source knihovnu nebo tutoriál. Rychle prolistuješ, spustíš lokálně a jedeš dál. Rutina. Teď ale výzkum TrustFall ukazuje, že AI nástroje na kódování to dělají stejně. A je to obrovská bezpečnostní díra.

Ideální útoková plocha

Lidi z Adversa AI prozkoumali čtyři velké AI coding asistenty. Mají smrtelnou chybu: automaticky spouští pomocné programy z konfiguračních souborů v projektu. Stačí potvrdit jediný dialog "důvěřuješ této složce?" – a default je ano.

Jak to funguje? Používají Model Context Protocol (MCP). To umožňuje AI komunikovat s externími nástroji – databáze, lintery, custom scripty. Super užitečné. Problém? Tyto helpers jsou definovány přímo v projektu.

Otevřeš repo, potvrdíš důvěru – a systém nespustí jen indexování kódu. Spustí ty programy. S tvými plnými právy.

Jeden Enter. Hotovo.

Co se může pokazit (všechno)

Zlomyslný helper dokáže:

• Ukrást SSH klíče a cloud credentials
• Vytáhnout historii shellu
• Číst kód z jiných projektů na tvém stroji
• Připojit se k serveru útočníka

A to všechno před tím, než AI vůbec začne myslet. Kód běží hned při startu.

Útok? Dva malé JSON soubory. Jeden definuje "linter", který stáhne payload z netu a spustí ho. Druhý to schválí. Repo může vypadat téměř prázdné.

Problém s dialogem

UX se tu mění v bezpečnostní riziko. Podívejme se, co vidíš:

Claude Code (v2.1+): "Rychlá bezpečnostní kontrola: Vytvořil jsi tento projekt nebo mu důvěřuješ?" Default: Ano. Starší verze měla volbu s MCP vypnutým – tu sundali.

Gemini CLI: Ukáže názvy helperů, aspoň něco k ověření.

Cursor CLI: Zmíní MCP neurčitě.

Copilot CLI: Obecný dialog bez zmínky o MCP.

Všechny defaultují na důvěru.

Jak řekl Rony Utevsky z Adversa AI: Nejde jen o díru. Developeri neví, čemu přesně souhlasí.

Noční můra CI/CD

Ještě horší v CI. Pokud Claude Code běží na serveru přes Anthropic GitHub Action – žádný dialog není. Headless mód.

Výsledek:

• Zlomyslný PR od contributorů přidá špatný config
• Pipeline na branchi to spustí
• Má přístup k deploy klíčům, certifikátům, tokenům

Adversa AI ukázala PoC, který krade env proměnné. Reálné riziko.

Co dělat hned teď

V firmě s Claude Code? Zapni Managed scope.

Centrální nastavení od IT. Vypne auto-schvalování MCP pro celou firmu. Jedna politika – hotovo.

Podle výzkumu to většina firem nepoužívá. A setup není jasný, zvlášť pro nováčky v AI codingu.

Reakce vendorů

Anthropic TrustFall prozkoumalo. Říkají: "Ano, důvěřuji složce" znamená souhlas se vším v projektu, včetně MCP. Jejich threat model to vidí jako OK.

Adversa AI nesporuje model. Ptá se, jestli dialog opravdu informuje.

(Anthropic nekomentovalo dál.)

Co to znamená pro tebe

Tato díra ukazuje: AI nástroje jsou silné, protože sahají hluboko do tvého prostředí. Síla = odpovědnost.

Používáš Claude Code, Gemini CLI, Cursor nebo Copilot CLI? Tak:

1. Čti dialogy pečlivě. Neautopilotuj.
2. Koukni do configů. Před otevřením neznámého repa prohlédni .mcp.json a podobné.
3. Vyber nástroj s viditelností MCP. Např. Gemini CLI.
4. V firmě aktivuj managed scope. Mluv s IT.
5. Updatuj nástroje. Vědí o problému, patche přicházejí.

Širší pohled

TrustFall odhaluje střet: pohodlí vs. bezpečnost. Default-ano dialogy fungují, protože většinou důvěřujeme svým projektům. Ale když kdokoli sdílí kód, je to riskantní sázka.

MCP a helpery? Potřebujeme je. Otázka je, jestli rozhraní "důvěruji" a "spusť cokoli" je dost jasné.

Teď? Ne. Developeri, týmy i vendori musí zapracovat.

Jak chráníš své nástroje? Narazil jsi na dialogy, které tě nechaly v nejistotě? Diskuse o bezpečnosti AI toolů teprve startuje. Přidej se.