何が起きたか
Adversa AIはTrustFallを開示しました(2026年5月7日に公表、ウィンドウ内で積極的に流布および引用)。Claude Codeのフォルダ信頼ダイアログのリグレッション — 設定スコープの矛盾と組み合わせて — 悪意のあるクローン化されたリポジトリが単一の開発者キープレスでサンドボックスなしコードを実行することを許可しました — ワークスペース信頼が自動的に付与されるCIランナーではゼロキープレスです。同じ信頼ダイアログクラスの欠陥はCursor、Gemini CLI、GitHub Copilotに影響しました。このポストは信頼ダイアログバグが繰り返し出現し続ける理由を示しています。信頼モデルはプロジェクト対ローカル対ポリシー設定スコープ全体で矛盾して実装されています。
なぜ重要か
開発者ワークステーション上のワンクリックRCEはクローン化されたリポジトリ経由の低摩擦で高利回り攻撃です。CIランナーのゼロクリックは信頼できないコードをプルしてビルドする自動化パイプラインがサイレントに悪用可能であることを意味します。影響を受けた4つのツールは集合的にエンタープライズ環境でのAIアシスト開発ワークフローの大多数を表しています。信頼ダイアログリグレッションクラスの繰り返される性質は、ベンダーが基礎となる設計問題をまだ解決していないことを示唆しています。
攻撃経路
悪意のあるリポジトリは信頼スコープの矛盾を悪用するプロジェクトレベル設定を埋め込みます。開発者はリポジトリを開き信頼プロンプトに応答します(ワンクリック)またはCIランナーはワークスペースを自動信頼します(ゼロクリック)。サンドボックスなしコードはユーザー権限で実行されます。
影響を受けるシステム
Claude Code(2026年5月信頼ダイアログハードニング前のバージョン)、Cursor、Gemini CLI、GitHub Copilot CLI — 2026年5月開示時のすべて
緩和策
すべてのコード実行アクションに対して強制的な人間協調ループ検証を実施します。認証情報ローテーションを使用してCIランナーを分離します。厳格なワークスペース信頼ポリシーを適用します。Adversa AI advisory:https://adversa.ai/blog/trustfall-coding-agent-security-flaw-rce-claude-cursor-gemini-cli-copilot/