Tillitsfellen: Ett klikk som kan ødelegge AI-kodingverktøyet ditt

Du kjenner det. Kloner et repo fra en kollega, et open-source-prosjekt eller en tutorial. Blir raskt gjennom koden, kjører lokalt og fortsetter. Helt vanlig for utviklere. Men TrustFall-forskningen viser at AI-kodingverktøy har arvet denne vanen – og det er en alvorlig svakhet.

Ideell angrepsmulighet

Forskere fra Adversa AI fant en kritisk feil i fire store AI-verktøy for koding. De kjører helper-programmer fra prosjektenes konfigurasjonsfiler automatisk – ofte med en enkel «stoler du på denne mappen?»-dialog som forhåndsvelger ja.

Slik skjer det:

Verktøyene bruker Model Context Protocol (MCP) for å koble AI til eksterne hjelpeprogrammer som databasedrivere, lintere eller egne scripts. Superpraktisk. Men definisjonene ligger i filer inne i selve prosjektet.

Åpner du et repo og godkjenner tillitsdialogen? Da starter systemet ikke bare indeksering. Det fyrer opp disse programmene – med dine fulle rettigheter.

Ett trykk. Ingenting mer.

Hva kan skje (alt, egentlig)

Et ondsint helper-program fikser:

• SSH-nøkler og sky-legitimasjon
• Shell-historikk
• Kildekode fra andre prosjekter på maskinen
• Tilkoblinger til angriperes servere

Det verste? Alt skjer før AI-en i det hele tatt tenker. Koden kjører ved oppstart.

Angrepet er barnesimt: To små JSON-filer. En definerer en «uskyldig» linter som henter og kjører last fra nettet. Den andre godkjenner det automatisk. Repot ser nesten tomt ut ved flyktig sjekk.

Dialogens svik

UX-en blir her et sikkerhetsproblem. Sjekk hva utviklere egentlig ser:

Claude Code (v2.1+): «Rask sjekk: Er dette ditt prosjekt eller ett du stoler på?» Standard: Ja. Tidligere versjon hadde valg for å stole uten MCP – det er fjernet.

Gemini CLI: Viser helper-navn klart, så du kan vurdere.

Cursor CLI: Nevner MCP vagt.

Copilot CLI: Generisk tillitsspørsmål, ingen omtale av MCP.

Alle default til tillit.

Rony Utevsky, leder for forskningen, sier det rett ut: Feilen er ikke bare hullet. Det er at «ja» betyr mer enn folk skjønner.

CI/CD-mareren

Verre blir det i CI/CD. Kjør Claude Code på en integrasjonsserver via Anthropics GitHub Action? Ingen dialog. Headless-modus.

Resultat:

• Ondsinnede PR-er fra bidragsytere slipper inn kompromitterte konfig-filer
• Pipeline kjører branchen – helper-programmet aktiveres
• Tilgang til deploy-nøkler, signeringsertifikater og sky-tokens

Adversa AI viste proof-of-concept som stjeler miljøvariabler. Dette er ekte fare.

Tiltak du tar i dag

I bedrift? Bruk Managed scope.

Sentralisert oppsett som IT ruller ut og låser. Slår av auto-godkjenning av MCP på tvers av alle maskiner med én policy.

Ulempen? De fleste bruker det ikke. Og det er ikke akkurat plug-and-play for nybegynnere i AI-koding.

Hva sier verktøyleverandørene

Anthropic har lest TrustFall-rapporten. De mener «Ja, jeg stoler på mappen» er bevisst samtykke til alt i prosjektet, inkludert MCP. Grensen etter tillit er designet slik.

Adversa AI krangler ikke på trusselmodellen. De spør om dialogen virkelig forklarer hva du godkjenner.

(Ingen ytterligere svar fra Anthropic.)

Poenget for deg

Dette viser at AI-verktøy er kraftige fordi de graver dypt i miljøet ditt. Kraft krever ansvar.

Bruker du Claude Code, Gemini CLI, Cursor eller Copilot CLI?

1. Stopp opp ved tillitsdialoger. Les, ikke auto-klikk.
2. Sjekk konfig-filer. Ukjent repo? Se etter .mcp.json før AI-åpning.
3. Velg verktøy med klarhet. Gemini CLI lister helpers.
4. Aktiver managed scope i firmaet. Snakk med IT.
5. Oppdater alltid. Leverandører jobber med bedre dialoger.

Det store bildet

TrustFall peker på konflikten i utvikling: Bekvemmelighet mot sikkerhet. Default-ja funker fordi vi stoler på våre prosjekter. Men med åpent kode deling er det risikabelt.

MCP og helpers er gull verdt. Spørsmålet er om veien fra «stoler på prosjekt» til «kjører vilkårlig kode» er tydelig nok.

Foreløpig: Nei. Utviklere, team og leverandører må fikse dette.

Hvordan sikrer du verktøyene dine? Møtt tillitsdialoger som føles uklar? AI-sikkerhet er i startgropa. Bli med i debatten.