Ловушка доверия: как один клик подставляет под удар ваш AI-ассистент для кода

Все мы так делаем. Клонируете репозиторий — код от коллеги, open-source библиотека или пример из туториала. Быстро просматриваете, запускаете локально и забываете. Для разработчиков это рутина. Но исследование TrustFall показывает: AI-инструменты для кодирования переняли эту привычку. И она превратилась в серьёзную дыру в безопасности.

Идеальные условия для атаки

Специалисты из Adversa AI нашли уязвимость в четырёх популярных AI-тулах. Они без вопросов запускают внешние программы из конфигов проекта. Достаточно одного диалога "доверяешь папке?", где по умолчанию стоит да.

Суть в Model Context Protocol (MCP). Это протокол для связи AI с внешними утилитами — коннекторами к базам, линтерами, кастомными скриптами. Полезно? Безусловно. Проблема: эти утилиты прописаны в файлах внутри самого проекта.

Открываете репозиторий, жмёте Enter на запрос доверия — и система не просто индексирует код. Она запускает эти программы. С вашими полными правами.

Один клик. И всё.

Что может случиться (спойлер: всё подряд)

Злонамеренная утилита способна:

• Вытащить SSH-ключи и облачные токены
• Скопировать историю shell
• Доступиться к коду других проектов на машине
• Подключиться к серверу атакующего

И самое страшное: это происходит до любого анализа кода AI. Запуск автоматический, при старте.

Атака простая — пара JSON-файлов. Один маскируется под линтер, но тянет и выполняет payload из сети. Второй автоматически его одобряет. Репозиторий на вид пустой.

Проблема с диалогами

UX здесь играет против безопасности. Посмотрим, что видят девелоперы:

Claude Code (v2.1+): "Быстрая проверка: твой проект или доверенный?" По умолчанию — да. Раньше была опция "доверять без MCP". Её убрали.

Gemini CLI: Показывает имена хелперов. Можно проверить.

Cursor CLI: Упоминает MCP вскользь.

Copilot CLI: Общий запрос на доверие. Без слова о MCP.

Все по умолчанию доверяют. Как отметил ведущий исследователь Rony Utevsky: дело не только в баге. Девелоперы не понимают, чему именно говорят "да".

Кошмар CI/CD

Хуже всего в CI. Если Claude Code крутится на сервере интеграции — через официальный GitHub Action от Anthropic — диалога нет. Режим headless.

Что выходит:

• Злоумышленник в PR кидает вредный конфиг
• Пайплайн на ветке запускает хелпер
• Доступ к деплои-ключам, сертификатам, токенам облака

Adversa AI выложили PoC: утечка env-переменных на их коллектор. Это не теория — реальный вектор.

Что делать прямо сейчас

В корпоративной среде с Claude Code используйте Managed scope. Это централизованная настройка от IT. Блокирует локальные изменения и отключает автоодобрение MCP для всех.

Минус: мало кто её юзает. Настройка неочевидная, особенно для новичков в AI-кодинге.

Позиция вендоров

Anthropic изучили TrustFall. Их взгляд: "Да, доверяю папке" — это осознанное согласие на весь контент, включая MCP. Граница угрозы работает как надо.

Adversa AI не спорит с моделью угроз. Вопрос в том, информирует ли диалог реально.

(Anthropic не комментировали допрасспросы.)

Что это значит для вас

Уязвимость напоминает: AI-тулы мощны, потому что копают глубоко в среду разработки. Сила требует осторожности.

Если юзаете Claude Code, Gemini CLI, Cursor или Copilot CLI:

1. Осознанно проходите диалоги. Не жмите на автопилоте. Читайте.
2. Проверяйте конфиги. В незнакомом репо ищите .mcp.json перед открытием.
3. Выбирайте прозрачные тулы. Gemini CLI хотя бы показывает имена хелперов.
4. Внедряйте managed scope. Поговорите с IT.
5. Обновляйтесь. Вендоры в курсе, фиксы могут появиться.

Взгляд шире

TrustFall вскрывает конфликт: удобство против безопасности. Диалоги с дефолтным "да" — потому что проекты обычно свои. Но в эпоху открытых репозиториев это рискованная ставка.

MCP и хелперы нужны — они полезны. Вопрос: ясно ли разделена грань между "доверяю проекту" и "запускаю код"?

Пока нет. Девелоперам, командам и вендорам есть над чем работать.

А как вы относитесь к безопасности тулов? Сталкивались с мутными диалогами доверия? Разговор о безопасности AI только начинается. Присоединяйтесь.