기술 설명
Claude Code 버전 2.1은 신뢰 대화상자를 약화시켜 악의적 저장소가 MCP 서버를 자동 승인하고 개발자 권한으로 즉시 시작할 수 있게 했습니다. 저장소는 개발자가 일반적인 '이 폴더 신뢰' 프롬프트에서 Enter를 누르는 순간 임의 코드를 실행하는 악의적 MCP 서버와 구성 설정을 포함할 수 있습니다. 자동 신뢰 기능이 있는 CI/CD 환경에서는 사용자 상호작용이 필요하지 않습니다.
공격 경로
공격자는 악의적 MCP 서버와 실행을 자동 승인하는 프로젝트 범위 구성을 포함한 GitHub 저장소를 만듭니다. 개발자가 Claude Code에서 저장소를 복제하거나 열고 신뢰 대화상자(기본값: 'Trust')를 수락하면 MCP 서버는 샌드박스 처리되지 않은 OS 프로세스 권한으로 시작됩니다. 페이로드는 SSH 키, 시크릿, 토큰을 유출하거나 백도어를 설치하고 C2를 구축할 수 있습니다. 이 공격은 CI/CD 파이프라인에서도 클릭 없이 작동합니다.
영향받는 시스템
Claude Code 버전 2.1 이상. 이전 버전은 MCP 실행에 대해 명시적으로 경고했으며 MCP 비활성화 상태로 진행할 수 있는 옵션을 제공했습니다. 두 경고 모두 2.1에서 제거되었습니다. Adversa AI는 2026년 5월 7일에 'TrustFall'로 이 문제를 공개했습니다. 이전의 세 가지 CVE(CVE-2025-59536, CVE-2026-21852, CVE-2026-33068)는 유사한 문제를 해결했지만 기본 클래스는 아닙니다.
완화 방안
가능하면 Claude Code 2.1 이전 버전으로 다운그레이드하거나 Anthropic이 패치를 발표할 때까지 MCP 서버를 완전히 비활성화하세요. Claude Code가 실행 중인 상태에서 신뢰할 수 없는 저장소를 복제하거나 검토하지 마세요. CI/CD에서 프로젝트 범위 MCP 승인을 명시적으로 비활성화하세요. 기업은 개발자 환경을 샌드박스 처리하고 Claude Code의 비정상적인 프로세스 생성을 모니터링해야 합니다. Anthropic은 이 문제를 자신의 위협 모델 외부로 분류했으며 신뢰 대화상자가 충분한 경고를 제공한다고 주장했습니다.