Penjelasan teknis
Claude Code versi 2.1 melemahkan dialog kepercayaannya, memungkinkan repositori berbahaya untuk auto-approve dan segera meluncurkan server MCP dengan privilege developer penuh. Sebuah repositori dapat menanamkan server MCP berbahaya dan pengaturan konfigurasi yang menjalankan kode arbitrary pada saat developer menekan Enter pada prompt 'trust this folder' generik. Dalam lingkungan CI/CD dengan auto-trust, tidak diperlukan interaksi pengguna.
Vektor serangan
Penyerang membuat repositori GitHub berisi server MCP berbahaya dan konfigurasi project-scoped yang auto-approves eksekusi. Ketika developer clone atau membuka repo di Claude Code dan menerima dialog trust (default: 'Trust'), server MCP diluncurkan dengan privilege OS process unsandboxed. Payload dapat melakukan exfiltration SSH keys, secrets, tokens, install backdoors, dan establish C2. Serangan juga bekerja zero-click dalam pipeline CI/CD.
Sistem yang terdampak
Claude Code versi 2.1 dan yang lebih baru. Versi sebelumnya memberikan peringatan eksplisit tentang eksekusi MCP dan menawarkan opsi untuk melanjutkan dengan MCP disabled; kedua peringatan dihapus di 2.1. Adversa AI mengungkapkan isu pada 7 Mei 2026 sebagai 'TrustFall'. Tiga CVE sebelumnya (CVE-2025-59536, CVE-2026-21852, CVE-2026-33068) mengatasi isu serupa namun bukan kelas dasarnya.
Mitigasi
Downgrade ke Claude Code pre-2.1 jika memungkinkan, atau disable server MCP sepenuhnya sampai Anthropic mengeluarkan patch. Jangan pernah clone atau review repositori yang tidak terpercaya dengan Claude Code berjalan. Dalam CI/CD, secara eksplisit disable project-scoped MCP approvals. Enterprise harus sandbox lingkungan developer dan monitor untuk unusual process spawns dari Claude Code. Anthropic telah mengkarakterisasi isu sebagai berada di luar threat model-nya, mengklaim dialog trust memberikan peringatan yang cukup.