技術的な説明
Claude Code バージョン 2.1 は信頼ダイアログを弱体化させ、悪意のあるリポジトリが MCP サーバーを自動承認し、開発者の完全な権限で即座に起動できるようになりました。リポジトリは悪意のある MCP サーバーと、開発者が汎用の「このフォルダを信頼する」プロンプトで Enter キーを押した瞬間に任意のコードを実行するプロジェクトスコープ設定を埋め込むことができます。CI/CD 環境で自動信頼が有効な場合、ユーザーの操作は必要ありません。
攻撃経路
攻撃者は、悪意のある MCP サーバーと実行を自動承認するプロジェクトスコープ設定を含む GitHub リポジトリを作成します。開発者がリポジトリを Claude Code で複製または開き、信頼ダイアログ(デフォルト:「信頼」)を受け入れると、MCP サーバーはサンドボックス化されていない OS プロセス権限で起動します。ペイロードは SSH キー、シークレット、トークンを流出させたり、バックドアをインストールしたり、C2 を確立したりできます。この攻撃は CI/CD パイプラインでゼロクリックでも機能します。
影響を受けるシステム
Claude Code バージョン 2.1 以降。以前のバージョンは MCP 実行について明示的に警告し、MCP を無効にして続行するオプションを提供していました。両方の警告が 2.1 で削除されました。Adversa AI は 2026 年 5 月 7 日に「TrustFall」として問題を公開しました。3 つの以前の CVE(CVE-2025-59536、CVE-2026-21852、CVE-2026-33068)が類似の問題に対処しましたが、根本的なクラスには対処しませんでした。
緩和策
可能であれば Claude Code pre-2.1 にダウングレードするか、Anthropic がパッチを発行するまで MCP サーバーを完全に無効にします。Claude Code を実行しながら信頼できないリポジトリを複製またはレビューしないでください。CI/CD では、プロジェクトスコープの MCP 承認を明示的に無効にします。エンタープライズは開発者環境をサンドボックス化し、Claude Code からの異常なプロセス生成を監視する必要があります。Anthropic は、この問題を脅威モデルの範囲外として特徴づけ、信頼ダイアログが十分な警告を提供するとアサートしています。