Pułapka zaufania: Jak jedno kliknięcie naraża twojego AI asystenta kodowania

Każdy deweloper zna to uczucie. Pobierasz repozytorium – od kolegi, z open source czy z tutoriala. Rzucasz okiem, odpalasz lokalnie i lecisz dalej. Rutyna. Ale badania z projektu TrustFall pokazują, że AI do kodowania przejęły ten nawyk. I to poważny problem bezpieczeństwa.

Idealne warunki do ataku

Specjaliści z Adversa AI przeanalizowali cztery popularne narzędzia AI do kodowania. Znaleźli słaby punkt: automatycznie uruchamiają one programy pomocnicze z plików konfiguracyjnych projektu. Wystarczy jeden dialog "ufasz temu folderowi?" z domyślnym tak.

Tak to działa:

Narzędzia korzystają z Model Context Protocol (MCP). To protokół do komunikacji AI z zewnętrznymi narzędziami – konektorami do baz, linterami czy custom skryptami. Super sprawa. Ale definicje tych helperów siedzą w plikach konfiguracyjnych w samym projekcie.

Otwierasz repo w narzędziu, klikasz "tak" w prompcie – i bum. System nie tylko indeksuje kod. Odpala te programy z twoimi pełnymi uprawnieniami.

Jeden klik. Tyle wystarczy.

Co może pójść nie tak (wszystko)

Złośliwy helper może:

• Wyciągnąć twoje klucze SSH i kredy do chmury
• Ukraść historię shella
• Dostać się do kodu z innych projektów na dysku
• Połączyć się z serwerem atakującego

Najgorsze? To startuje od razu, zanim AI w ogóle pomyśli o kodzie. Atak to prostota: dwa małe pliki JSON. Jeden udaje lintera, który ściąga payload z netu. Drugi go auto-akceptuje. Repo wygląda na puste.

Problem z dialogiem

UX staje się tu pułapką bezpieczeństwa. Spójrz, co widzi deweloper:

Claude Code (v2.1+): "Szybki check: twój projekt czy ufasz?" Domyślnie tak. Wcześniejsza wersja miała opcję "ufaj bez MCP". Usunięto ją.

Gemini CLI: Pokazuje nazwy helperów – da się sprawdzić.

Cursor CLI: Wspomina MCP mgliście.

Copilot CLI: Ogólny prompt o zaufaniu. Bez słowa o MCP.

Wszystkie domyślnie ufają.

Jak mówi Rony Utevsky z Adversa AI: problem to nie tylko luka. Deweloperzy nie wiedzą, na co zgadzają się klikając "tak".

Koszmar CI/CD

Gorzej w CI/CD. Claude Code na serwerze integracji (oficjalna GitHub Action od Anthropic) działa bez dialogu. W trybie headless.

Efekt:

• Złośliwy PR z configiem wlatuje
• Pipeline odpala branch – helper rusza
• Dostęp do kluczy deploy, certów i tokenów chmurowych

Adversa AI dało działający PoC. Wysyła env vars do kolektora. To realny atak.

Co zrobić już dziś

W firmie z Claude Code? Użyj Managed scope.

To centralna konfiguracja od IT. Blokuje lokalne zmiany i wyłącza auto-MCP w całym zespole jednym ruchem.

Haczyk? Mało kto to ma. Setup nie jest oczywisty, zwłaszcza dla nowicjuszy w AI kodowania.

Co mówią producenci

Anthropic sprawdziło raport TrustFall. Ich zdanie: "tak, ufasz folderowi" to zgoda na wszystko w projekcie, w tym MCP. Granica zagrożenia działa jak trzeba.

Adversa AI nie kwestionuje modelu zagrożeń. Pytają: czy dialog naprawdę informuje?

(Anthropic nie skomentowało dalszych pytań.)

Co to znaczy dla ciebie

Ta luka pokazuje: narzędzia AI do devu są potężne, bo siedzą głęboko w środowisku. Moc wymaga ostrożności.

Używasz Claude Code, Gemini CLI, Cursor czy Copilot CLI? Zrób to:

1. Myśl przy dialogach zaufania. Nie klikaj na autopilocie. Czytaj.
2. Sprawdzaj configi. W nieznanym repozerzytorium – przejrzyj .mcp.json przed otwarciem w AI.
3. Wybieraj widoczność MCP. Gemini CLI pokazuje nazwy helperów.
4. W firmie – managed scope. Dogadaj z IT centralną politykę MCP.
5. Aktualizuj narzędzia. Producenci wiedzą. Update'y mogą poprawić prompty.

Szerszy obraz

TrustFall obnaża konflikt: wygoda kontra bezpieczeństwo. Domyślne "tak" pasuje, bo zwykle ufamy swoim projektom. Ale w erze otwartych repo – ryzykujemy.

MCP i helpery są potrzebne. Pytanie: czy interfejs "ufam projektowi" = "odpal obcy kod" jest jasny?

Na razie nie. Deweloperzy, zespoły i vendorzy muszą to ogarnąć.

Jak podchodzisz do bezpieczeństwa narzędzi? Trafiłeś na niejasny dialog zaufania? Dyskusja o bezpieczeństwie AI tools dopiero startuje. Dołącz.