Penjelasan teknis
Claude Code versi 2.1 melemahkan dialog kepercayaannya, memungkinkan repositori berbahaya untuk auto-approve dan segera meluncurkan server MCP dengan privilege developer penuh. Sebuah repositori dapat menyematkan server MCP berbahaya dan pengaturan konfigurasi yang menjalankan kode arbitrer saat seorang developer menekan Enter pada prompt 'trust this folder' generik. Dalam lingkungan CI/CD dengan auto-trust, tidak diperlukan interaksi pengguna.
Vektor serangan
Penyerang membuat repositori GitHub yang berisi server MCP berbahaya dan konfigurasi project-scoped yang auto-approve eksekusi. Ketika seorang developer mengkloning atau membuka repositori di Claude Code dan menerima dialog kepercayaan (default: 'Trust'), server MCP diluncurkan dengan privilege proses OS tanpa sandbox. Payload dapat mengekstrak SSH keys, secrets, tokens, memasang backdoor, dan membentuk C2. Serangan juga bekerja zero-click dalam pipeline CI/CD.
Sistem yang terdampak
Claude Code versi 2.1 dan yang lebih baru. Versi sebelumnya memperingatkan secara eksplisit tentang eksekusi MCP dan menawarkan opsi untuk melanjutkan dengan MCP dinonaktifkan; kedua peringatan dihapus di 2.1. Adversa AI mengungkapkan masalah tanggal 7 Mei 2026 sebagai 'TrustFall'. Tiga CVE sebelumnya (CVE-2025-59536, CVE-2026-21852, CVE-2026-33068) mengatasi masalah serupa tetapi bukan kelas dasarnya.
Mitigasi
Downgrade ke Claude Code pre-2.1 jika memungkinkan, atau nonaktifkan server MCP sepenuhnya hingga Anthropic mengeluarkan patch. Jangan pernah mengkloning atau meninjau repositori yang tidak tepercaya dengan Claude Code berjalan. Dalam CI/CD, nonaktifkan secara eksplisit project-scoped MCP approval. Perusahaan harus melakukan sandbox pada lingkungan developer dan memantau proses spawn yang tidak biasa dari Claude Code. Anthropic telah mengkarakterisasi masalah sebagai berada di luar threat model-nya, menegaskan bahwa dialog kepercayaan memberikan peringatan yang cukup.