Apa yang terjadi
Penasihat keamanan GitHub (CVSS 7.8) mengungkapkan bahwa ForgeCode, CLI agen pengodean AI, secara membuta mempercayai dan secara otomatis menjalankan perintah server MCP yang ditentukan dalam file .mcp.json yang disediakan repositori, memberikan eksekusi kode pada pengembang apa pun yang membuka repositori di ForgeCode.
Mengapa penting
Ini adalah bagian dari kelas kerentanan agen pengodean AI yang berulang (juga terlihat di Cursor dan alat lainnya) di mana konfigurasi yang disediakan repositori diperlakukan sebagai kode terpercaya; itu mengubah "clone dan buka proyek" menjadi vektor RCE satu klik terhadap pengembang yang menggunakan agen pengodean AI, populasi yang berkembang pesat.
Vektor serangan
ForgeCode secara otomatis memuat dan menjalankan server MCP yang ditentukan dalam file .mcp.json repositori saat startup, tanpa konfirmasi pengguna. Repositori berbahaya dapat mengirimkan .mcp.json yang dirancang yang entri mcpServers-nya menentukan perintah dan argumen arbitrer, yang akan dijalankan ForgeCode saat pengembang membuka repo di alat tersebut.
Sistem yang terdampak
ForgeCode (tailcallhq/forgecode) — semua versi yang secara otomatis memuat .mcp.json repositori tanpa konfirmasi
Mitigasi
Tidak ada versi patch yang dikonfirmasi yang disebutkan dalam penasihat pada saat pengungkapan; solusinya adalah meninjau .mcp.json di repositori apa pun yang tidak dipercaya sebelum membukanya di ForgeCode, dan menonaktifkan auto-load konfigurasi MCP lokal repo jika didukung.