Support dygnet runt
Vanliga frågor
 Instrumentpanel
Kontosaldo:    
Tillitsfällan: Ett klick som saboterar din AI-kodhjälp

Tillitsfällan: Ett klick som saboterar din AI-kodhjälp

Maj 08, 2026 ai security coding tools vulnerability research devsecops mcp protocol claude code supply chain security

Förtroendetfällan: Ett klick som öppnar dörren för AI-kodverktygets värsta mardröm

Tänk dig det här: Du klonar ett repo från en kollega, en öppen källkod eller ett exempel från en tutorial. Du kastar ett öga, kör det lokalt och kör vidare. Vanligt för oss utvecklare. Men TrustFall, ett nytt säkerhetsprojekt från Adversa AI, visar att AI-kodassistenter har ärvt den här farliga vanan – och det skapar en rejäl sårbarhet.

Så riggas en perfekt attack

Forskare på Adversa AI granskade fyra stora AI-kodverktyg. De hittade en svag punkt: Verktygen startar automatiskt hjälprogram som definieras i projektets konfigurationsfiler. Ofta räcker det med en enda "förtro dig för den här mappen?"-dialog som förvald ja.

Det bygger på Model Context Protocol (MCP). Ett protokoll som låter AI:n prata med externa verktyg som databaskopplingar, linter eller egna scripts. Smart idé. Problemet? Definitionerna ligger i filer inne i själva projektet.

När du öppnar repot och bekräftar förtroendet händer inte bara indexering. Hjälprogrammen startas. Med dina egna rättigheter.

Ett enda tryck. Inget mer behövs.

Vad kan hända? Allt, typ

Ett skadligt hjälprogram kan:

  • Sno dina SSH-nycklar och molnloggar
  • Läsa din shellhistorik
  • Nosa runt i kod från andra projekt på maskinen
  • Koppla upp mot angriparens servrar

Allt det här sker innan AI:n ens börjat tänka. Koden körs direkt vid uppstart.

Attacken är busenkel: Två små JSON-filer. En låtsas vara en harmlös linter men laddar ner och kör skadlig kod från nätet. Den andra godkänner automatiskt. Repot ser tomt ut vid en snabb koll.

Dialogen som blir en säkerhetsrisk

UX:en spökar här. Kolla vad utvecklarna faktiskt ser:

Claude Code (v2.1+): "Säkerhetskontroll: Skapade du det här eller litar du på det?" Förvald: Ja. Tidigare versioner hade ett alternativ att lita på mappen utan MCP. Det togs bort.

Gemini CLI: Visar hjälprogrammens namn klart och tydligt.

Cursor CLI: Nämner MCP vagt.

Copilot CLI: Generisk förtroendedialog. Inget om MCP.

Alla förvalar ja. Rony Utevsky, som ledde forskningen, säger det rakt ut: Det är inte bara hålet. Det är att vi inte fattar vad vi godkänner när vi klickar ja.

CI/CD blir en katastrof

Värre blir det i CI/CD. Kör Claude Code via Anthropics officiella GitHub Action? Ingen dialog alls. Headless läge.

Då kan:

  • En PR med skadlig konfig från en extern bidragsgivare smyga in
  • Pipelinen kör hjälprogrammet direkt
  • Tillgång till deploy-nycklar, certifikat och molntokens

Adversa AI visade en POC som snor miljövariabler. Inte teori – verklig risk.

Vad du gör nu, direkt

I företag? Aktivera Managed scope. Central inställning som IT kan pusha ut och låsa. Stänger av auto-godkännande för MCP i hela organisationen.

Haken? Få använder det. Och det är inte lätt att fatta konfigurationen, speciellt för nybörjare med AI-verktyg.

Vad säger verktygsjättarna?

Anthropic har kollat TrustFall-rapporten. De menar: "Ja, jag litar på mappen" betyder samtycke till allt, inklusive MCP. Gränsen efter beslutet funkar som tänkt.

Adversa AI ifrågasätter inte modellen. De undrar om dialogen verkligen förklarar vad som händer.

(Inga fler kommentarer från Anthropic.)

Vad det betyder för dig

Det här visar: AI-verktyg är starka för att de gräver djupt i din miljö. Kraft kräver ansvar.

Använder du Claude Code, Gemini CLI, Cursor eller Copilot CLI?

  1. Tänk efter vid förtroendedialoger. Läs, inte autopilot.
  2. Kolla konfigfiler. .mcp.json och liknande i okända repos – innan AI-verktyget.
  3. Välj verktyg med tydlighet. Gemini CLI visar hjälpnamn.
  4. Pusha för managed scope. Prata med IT.
  5. Uppdatera verktygen. De vet om problemet. Förbättringar kommer.

Den stora bilden

TrustFall pekar på konflikten: Bekvämlighet mot säkerhet. Förval ja passar när vi litar på våra projekt. Men i en värld med öppen kod satsar vi för löst.

MCP och hjälprogram behövs – de är värdefulla. Frågan är om steget från "litar på projekt" till "kör valfri kod" är tillräckligt tydligt.

Svaret just nu: Nej. Utveckare, team och leverantörer måste steppa upp.

Hur hanterar du säkerhet i verktyg? Stött på tveksamma dialoger? AI-säkerhet är hett nu. Hoppa in i diskussionen.

Read in other languages:

RU BG EL CS UZ TR FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN