La Trappola della Fiducia: Un Clic e il Tuo AI per il Coding È in Rischio

Capita a tutti. Cloni un repo da un collega, una lib open-source o un esempio da un tutorial. Dai un'occhiata veloce, lo avvii in locale e via. Routine da developer. Ma il progetto di ricerca TrustFall mette in luce un problema: gli AI coding assistant copiano questa abitudine pericolosa, trasformandola in una falla grave.

Il Terreno Ideale per un Attacco

Gli esperti di Adversa AI hanno analizzato quattro tool AI principali. Scoperta? Eseguono automaticamente programmi helper definiti nei file di configurazione del progetto. Basta un dialog "fidi di questa cartella?" con default su sì.

Ecco il meccanismo.

Usano il Model Context Protocol (MCP) per collegare l'AI a tool esterni: connettori DB, linter, script personalizzati. Funzionale, no? Il guaio è che queste definizioni stanno nei config del progetto.

Apri il repo, premi Invio sul prompt di trust. Non solo indicizza il codice: avvia quei programmi con i tuoi permessi pieni.

Un solo tasto. Fine.

Cosa Può Succedere (Tutto, Purtroppo)

Un helper malevolo ruba:

• Chiavi SSH e credenziali cloud
• Storia del tuo shell
• Codice da altri progetti sul PC
• Connessioni a server degli attaccanti

Peggio: parte prima che l'AI analizzi alcunché. Avvio automatico.

L'attacco? Due JSON minuscoli. Uno finge un linter innocuo che scarica ed esegue payload da remoto. L'altro lo approva. Il repo sembra vuoto a un controllo rapido.

Il Guaio del Dialog

L'interfaccia utente diventa un rischio security. Vediamo cosa mostrano:

Claude Code (v2.1+): "Controllo rapido: progetto tuo o fidato?" Default sì. Prima c'era un'opzione per disabilitare MCP: l'hanno tolta.

Gemini CLI: Elenca i nomi degli helper, utile per chi guarda bene.

Cursor CLI: Parla di MCP in modo vago.

Copilot CLI: Prompt generico, zero cenno a MCP.

Tutti preimpostati su trust.

Rony Utevsky, a capo della ricerca, lo dice chiaro: non è solo la falla. È che i developer non capiscono cosa approvano con quel "sì".

L'Incubo CI/CD

Peggio in CI. Su Claude Code via GitHub Action ufficiale di Anthropic? Niente dialog, modalità headless.

Risultato:

• PR malevolo da un contributor infila config compromesso
• Pipeline gira sul branch: helper parte
• Accesso a chiavi deploy, cert, token cloud

Adversa AI ha un PoC funzionante: estrae variabili d'ambiente e le invia a un collector. Attacco reale.

Cosa Fare Subito

In azienda con Claude Code? Usa Managed scope.

Configurazione centralizzata che IT impone a tutti i PC, bloccando override locali. Disabilita auto-approvazione MCP per progetto con un colpo solo.

Difetto? Poche organizzazioni la attivano. E setup non è intuitivo, specie per chi inizia con AI coding.

La Posizione dei Vendor

Anthropic ha rivisto TrustFall: "Sì, fido questa cartella" acconsente a tutto, inclusi MCP. Per loro, l'esecuzione post-trust è come previsto.

Adversa non contesta il modello di threat. Dubita che il dialog informi davvero.

(Nessuna replica extra da Anthropic.)

Implicazioni per Te

Questa falla ricorda: tool AI per dev sono potenti perché agiscono in profondità nel tuo ambiente. Potenza = responsabilità.

Usi Claude Code, Gemini CLI, Cursor o Copilot CLI? Ecco i passi:

1. Leggi i dialog di trust. Niente autopilot.
2. Controlla i config. Repo ignoto? Apri .mcp.json e simili prima dell'AI.
3. Scegli visibilità MCP. Prendi Gemini CLI, che lista gli helper.
4. Attiva managed scope in team. Coinvolgi IT per policy centralizzata.
5. Aggiorna sempre. Vendor sanno, fix in arrivo sui dialog.

Il Quadro Generale

TrustFall mostra il conflitto dev moderno: comodità vs security. Dialog sì-di-default funzionano perché fidiamo dei nostri progetti. Ma con repo pubblici ovunque, è una scommessa azzardata.

MCP e helper servono, sono utili. Il punto è: il passaggio da "fido il progetto" a "eseguo codice arbitrario" è chiaro?

Per ora, no. Developer, team e vendor devono migliorare.

Tu come gestisci la security dei tool? Ti sei fermato su un dialog ambiguo? Il dibattito sulla safety degli AI è all'inizio. Partecipa.