Claude Code, Gemini, Cursor и Copilot оказались уязвимы, хакеры нашли способ взломать вас через два JSON-файла и ИИ-помощника

Исследование Adversa AI обнаружило уязвимую модель доверия сразу в 4 инструментах для ИИ-программирования. Проблема затрагивает Claude Code от Anthropic, Gemini CLI от Google, Cursor CLI и Copilot CLI от GitHub. Вредоносный репозиторий может запустить код на компьютере разработчика в момент открытия проекта в одном из инструментов и подтверждения доверия к папке нажатием Enter.

Работа получила название TrustFall. ИИ-инструменты командной строки переняли привычную для разработчиков практику работы с чужими репозиториями, но добавили опасный уровень автоматизации. Разработчик клонирует незнакомый проект, открывает его в помощнике, видит окно доверия и нажимает Enter. После этого вредоносная конфигурация запускает вспомогательную программу с правами пользователя.

ИИ-помощники начинают читать конфигурацию и подключать внешние инструменты ещё до понимания человеком безопасности проекта. Под удар попадают разные сценарии:

• открытие Open Source-проектов с GitHub;
• разбор примеров из документации;
• проверка библиотек с форумов;
• работа с учебными репозиториями;
• запуск демонстрационных проектов.

В центре атаки находится механизм MCP, Model Context Protocol. Он нужен для взаимодействия ИИ-помощника с внешними программами. Проблема возникает из-за описания вспомогательных программ прямо в файлах проекта.

Интересно, что вся атака помещается в 2 небольших JSON-файла, и при беглом просмотре репозиторий выглядит почти пустым.

При запуске ИИ-инструмента внутри папки он считывает конфигурационные файлы и подключает указанные программы. Во вредоносном репозитории скрипт может называться «linter». На деле он загружает полезную нагрузку из интернета и выполняет её на машине разработчика.

После запуска вспомогательная программа получает доступ к чувствительным данным:

• SSH-ключи разработчика;
• облачные токены и API-ключи;
• история командной оболочки;
• исходный код других проектов;
• конфигурации разработчика и IDE.

В Claude Code версии 2.1 и новее пользователю показывается сообщение о принадлежности проекта самому пользователю. Вариант по умолчанию связан с доверием к папке. Gemini CLI показывает список вспомогательных программ по именам. Cursor CLI упоминает MCP более общими словами. Copilot CLI показывает стандартное приглашение доверия без отдельного упоминания MCP.

Технический директор Adversa AI Алекс Поляков заявил Help Net Security о различных подходах инструментов к настройке и доверию. По словам Алекса Полякова, Cursor и агентский режим Copilot или VS Code являются прямыми аналогами с одинаковым поведением.

Уточняется, что режиме CI диалогового окна вообще нет, и атака проходит без единого нажатия Enter со стороны разработчика.

Отдельно исследователи выделили вариант атаки через CI. При запуске Claude Code на сервере непрерывной интеграции через GitHub-действие Anthropic он работает без интерфейса терминала. Подтверждение доверия не появляется. Сторонний участник может отправить запрос на слияние с вредоносным файлом проекта, и вспомогательная программа получит доступ к данным исполнителя CI:

• переменные среды и параметры запуска;
• ключи развёртывания инфраструктуры;
• сертификаты подписи кода;
• облачные токены и доступы к сервисам.

Adversa AI опубликовала рабочую демонстрацию с передачей переменных среды исполнителя на URL сборщика.

Для компаний это особенно неприятный класс атак. Достаточно открыть папку в ИИ-инструменте или дать CI обработать ветку. TrustFall открывает новую зону риска на уровне ИИ-помощников и проектной конфигурации.

Минимальный набор мер для компаний выглядит так:

• запретить автоматическое доверие к незнакомым репозиториям;
• отключать MCP при первичном анализе проекта;
• запускать ИИ-инструменты в изолированной среде без секретов;
• не передавать секреты в CI для непроверенных веток;
• обучить разработчиков не нажимать Enter автоматически.

Ранее исследование под руководством Кембриджского университета показало, что генеративный ИИ пока не превращает подпольных хакеров в армию автономных супервзломщиков. Учёные изучили почти 98 000 тем на теневых форумах после запуска ChatGPT и пришли к выводу, что ИИ чаще используют для спама, простого фишинга, генерации контента и помощи опытным программистам, а не для массового запуска полностью автономных атак.

Эксперты редакции CISOCLUB отмечают, что TrustFall показывает появление нового слоя риска в цепочке поставки ПО. По мнению редакции, проблема не в превращении Claude Code, Gemini CLI, Cursor CLI или Copilot CLI во вредоносные инструменты. Подобные помощники доверяют проекту быстрее самого человека, и безопасная разработка теперь должна учитывать поведение ИИ-агентов внутри рабочей среды. Старые правила работы с чужим кодом перестают работать в эпоху агентного программирования.