Der Vertrauens-Falle: Ein Klick reicht, um deinen AI-Coding-Assistenten zu knacken

Jeder Entwickler kennt das. Du klonst ein Repo – von einem Kollegen, aus Open Source oder einem Tutorial. Ein kurzer Blick, lokal starten, weiterarbeiten. Routine. Doch die Sicherheitsforschung TrustFall zeigt: AI-Coding-Tools übernehmen genau diese riskante Gewohnheit. Und das wird zur großen Schwachstelle.

Der ideale Angriffsboden

Forscher von Adversa AI haben vier Top-AI-Coding-Tools unter die Lupe genommen. Ihr Fehler: Sie starten automatisch Hilfsprogramme aus Projekt-Konfigurationsdateien. Oft nur mit einem simplen "Ordner vertrauen?"-Dialog, der standardmäßig Ja sagt.

So läuft's ab:

Die Tools nutzen das Model Context Protocol (MCP). Damit chatten sie mit externen Helfern – Datenbank-Tools, Linter oder Custom-Skripte. Praktisch. Aber diese Helfer stehen in Konfig-Dateien direkt im Projekt.

Beim Öffnen des Repos und Bestätigen des Trusts? Die Helfer starten sofort. Mit allen deinen Rechten.

Ein Klick. Fertig.

Was schiefgehen kann (fast alles)

Ein bösartiger Helfer greift zu:

• SSH-Keys und Cloud-Zugangsdaten
• Shell-History
• Code aus anderen Projekten auf deinem Rechner
• Verbindungen zu Servern der Angreifer

Das Schlimme: Es passiert, bevor die AI überhaupt denkt. Die Programme laufen beim Start.

Der Trick? Nur zwei kleine JSON-Dateien. Eine definiert einen harmlos wirkenden "Linter", der Payloads aus dem Netz holt und ausführt. Die andere billigt alles automatisch. Das Repo wirkt leer.

Das Problem mit dem Dialog

Hier versagt die Bedienung als Sicherheitsbremse. Was sehen Nutzer wirklich?

Claude Code (v2.1+): "Sicherheitscheck: Dein Projekt oder vertrauenswürdig?" Standard: Ja. Früher gab's eine Option ohne MCP – die ist weg.

Gemini CLI: Zeigt Helfer-Namen an, zum Prüfen.

Cursor CLI: Erwähnt MCP nebulos.

Copilot CLI: Generischer Trust-Prompt, MCP gar nicht erwähnt.

Alle defaulten auf Vertrauen.

Wie Forscher Rony Utevsky sagt: Es geht nicht nur um die Lücke. Entwickler wissen nicht, wozu sie wirklich Ja sagen.

Der Albtraum in CI/CD

Noch schlimmer in der Pipeline. Claude Code auf CI-Servern – z. B. via Anthropics GitHub Action – fragt gar nicht. Läuft headless.

Folge:

• Bösartiger Pull Request mit manipulierten Configs
• Pipeline startet den Branch – Helfer läuft
• Zugriff auf Deploy-Keys, Zertifikate, Cloud-Tokens

Adversa AI hat einen PoC veröffentlicht: Er saugt Env-Variablen raus. Keine Theorie, realer Angriff.

Sofort-Schutzmaßnahmen

In Firmen mit Claude Code: Managed Scope nutzen.

Zentrale IT-Konfig, die MCP-Auto-Approval projektspezifisch blockt. Per Policy für alle. Leicht einrichtbar.

Aber: Viele Firmen ignorieren es. Setup ist unklar, vor allem für AI-Neulinge.

Reaktion der Hersteller

Anthropic checkt TrustFall: "Ja, ich vertraue dem Ordner" bedeutet Zustimmung zu allem, inklusive MCP. Ihre Bedrohungssicht: Grenze nach Trust-Entscheidung ist korrekt.

Adversa AI kritisiert nicht das Modell, sondern die unklare Info im Dialog.

(Anthropic schwieg zu Nachfragen.)

Dein Handlungsbedarf

AI-Tools greifen tief in deine Umgebung. Macht sie stark – und riskant.

Bei Claude Code, Gemini CLI, Cursor oder Copilot CLI:

1. Trust-Dialoge bewusst angehen. Nicht blind klicken.
2. Konfigs prüfen. Bei fremden Repos: .mcp.json & Co. checken.
3. MCP-Transparenz fordern. Gemini CLI listet Helfer – nimm das.
4. Managed Scope aktivieren. IT einspannen.
5. Tools updaten. Hersteller wissen Bescheid, Patches kommen.

Der große Kontext

TrustFall zeigt den Konflikt: Bequemlichkeit vs. Sicherheit. Default-Ja passt, weil Projekte meist vertrauenswürdig sind. Aber bei fremdem Code? Riskant.

MCP ist gut und nützlich. Die Frage: Ist der Sprung von "Vertrauen" zu "Code ausführen" klar genug?

Aktuell: Nein. Entwickler, Teams und Vendoren müssen ran.

Wie gehst du mit Tool-Sicherheit um? Unsichere Trust-Dialoge erlebt? Die Debatte zu AI-Sicherheit läuft an. Spring rein.