24/7 ondersteuning
Veelgestelde vragen
 Dashboard
Accountsaldo:    
De Trustvalkuil: Hoe één klik je AI-codehulp saboteert

De Trustvalkuil: Hoe één klik je AI-codehulp saboteert

Mei 08, 2026 ai security coding tools vulnerability research devsecops mcp protocol claude code supply chain security

De Vertrouwensvalkuil: Hoe één klik je AI-codehulp kwetsbaar maakt

Stel je voor: je haalt een repo binnen. Van een collega, een open-source project of een snelle tutorial. Even nakijken, lokaal draaien en door. Voor developers pure routine. Maar onderzoek onder de naam TrustFall laat zien dat AI-codehulpmiddelen dezelfde slordige gewoontes overnemen. En dat creëert een ernstig beveiligingsgat.

Ideale omstandigheden voor aanvallers

Onderzoekers van Adversa AI vonden een zwak punt bij vier populaire AI-code tools: ze starten automatisch hulppogramma's uit projectconfiguratiebestanden. Vaak met een simpele 'vertrouw je deze map?'-popup die standaard op ja staat.

Zo gaat het:

De tools maken gebruik van het Model Context Protocol (MCP). Dat koppelt de AI aan externe hulpmiddelen zoals database-aansluitingen, linters of maatwerk scripts. Handig toch? Zeker. Het probleem zit in die configbestanden, die in de repo zelf staan.

Zodra je de repo opent en op 'vertrouw' klikt, indexeert de tool niet alleen je code. Nee, hij start die hulpmiddelen. Met jouw volledige rechten.

Eén toetsaanslag. Meer is niet nodig.

Wat er mis kan gaan (heel veel)

Een kwaadaardig hulpmiddel kan:

  • Je SSH-sleutels en cloud-credentials stelen
  • Je shell-geschiedenis meenemen
  • Code uit andere projecten op je machine lezen
  • Verbinding maken met servers van de aanvaller

En dat gebeurt allemaal voordat de AI überhaupt nadenkt. De code draait direct bij opstarten.

De aanval is simpel: twee kleine JSON-bestanden. Eentje definieert een onschuldige 'linter' die een payload van internet haalt en uitvoert. De ander keurt het goed. De repo lijkt bij een snelle blik leeg.

Het probleem met de popup

Hier faalt de gebruikerservaring als beveiliging. Dit zie je in de tools:

Claude Code (v2.1+): "Veiligheidscheck: zelf gemaakt of vertrouwd project?" Standaard ja. Eerdere versies hadden een optie om MCP uit te schakelen – die is weg.

Gemini CLI: Toont expliciet de namen van hulpmiddelen, zodat je kunt controleren.

Cursor CLI: Noemt MCP vaag.

Copilot CLI: Gewone vertrouw-popup, geen woord over MCP.

Allemaal standaard op vertrouwen.

Zoals onderzoeker Rony Utevsky zegt: het gaat niet alleen om het gat. Developers snappen niet waaraan ze ja zeggen.

De nachtmerrie van CI/CD

Het wordt erger in CI/CD-omgevingen. Bij Claude Code via Anthropics GitHub Action is er geen popup. Het draait headless.

Resultaat:

  • Een kwaadaardige pull request met foute config
  • Pipeline draait op die branch en activeert het hulpmiddel
  • Toegang tot deploy-sleutels, certificaten en cloud-tokens

Adversa AI deelde een werkend proof-of-concept dat environment variables lekt. Dit is geen theorie – puur realiteit.

Wat je nú kunt doen

In een bedrijfsomgeving met Claude Code? Gebruik Managed scope.

Dat is centrale configuratie die IT uitrolt en blokkeert. Eén policy en MCP-auto-goedkeuring is overal uit voor je hele team.

Minpunt: de meeste bedrijven doen het niet. En de setup is niet bepaald beginner-vriendelijk, zeker niet voor nieuwe AI-gebruikers.

Reactie van de toolmakers

Anthropic bekeek het TrustFall-rapport. Hun standpunt: 'Ja, ik vertrouw deze map' betekent akkoord met alles erin, inclusief MCP. Dat is hoe hun dreigingsmodel werkt.

Adversa AI valt dat model niet aan. Ze wijzen op de onduidelijke popup.

(Anthropic reageerde niet op vervolgvragen.)

Wat dit voor jou betekent

Deze kwetsbaarheid toont aan: AI-tools zijn krachtig omdat ze diep in je omgeving duiken. Daarmee komt plicht.

Gebruik je Claude Code, Gemini CLI, Cursor of Copilot CLI? Doe dit:

  1. Denk na bij trust-popups. Lees ze echt, geen automatisme.
  2. Check configbestanden. Bij onbekende repos: .mcp.json enzo eerst bekijken.
  3. Kies tools met zichtbare MCP. Zoals Gemini CLI met helper-namen.
  4. Activeer managed scope op werk. Praat met IT over centrale policy.
  5. Update altijd. Vendors weten ervan en passen prompts aan.

De les erachter

TrustFall legt een conflict bloot: gemak botst met veiligheid. Standaard-ja popups werken omdat je meestal je eigen projecten vertrouwt. Maar supply chain-aanvallen maken dat riskant.

MCP en hulpmiddelen zijn nuttig – die horen erin. Maar de kloof tussen 'vertrouw project' en 'voer code uit' moet duidelijker.

Voorlopig is dat niet zo. Developers, teams en vendors moeten aan de slag.

Hoe ga jij om met tool-veiligheid? Trust-popups die je doen twijfelen? De discussie over AI-veiligheid begint pas. Doe mee.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN