技術的な説明
Claude Code バージョン 2.1 は信頼ダイアログを弱化し、悪意あるリポジトリが自動承認を行い、MCP サーバーを開発者の完全な権限で即座に起動することを許可します。リポジトリは悪意あるMCP サーバーと設定を埋め込むことができ、開発者が汎用的な「このフォルダを信頼する」プロンプトで Enter を押した直後に任意のコードを実行します。自動信頼を使用する CI/CD 環境では、ユーザーインタラクションは不要です。
攻撃経路
攻撃者は悪意あるMCP サーバーとプロジェクトスコープの設定を含む GitHub リポジトリを作成し、実行を自動承認します。開発者がリポジトリを Claude Code で複製またはオープンし、信頼ダイアログ(デフォルト:「Trust」)を受け入れると、MCP サーバーはサンドボックス化されていない OS プロセス権限で起動します。ペイロードは SSH キー、シークレット、トークンを流出させ、バックドアをインストールし、C2 を確立できます。攻撃は CI/CD パイプラインでゼロクリックでも機能します。
影響を受けるシステム
Claude Code バージョン 2.1 以降。以前のバージョンは MCP 実行について明示的に警告し、MCP を無効にして進める選択肢を提供していましたが、両方の警告は 2.1 で削除されました。Adversa AI は 2026年5月7日に「TrustFall」として問題を開示しました。3 つの先行 CVE(CVE-2025-59536、CVE-2026-21852、CVE-2026-33068)は同様の問題に対処しましたが、基本的なクラスには対処していません。
緩和策
可能であれば Claude Code 2.1 以前にダウングレードするか、Anthropic がパッチを発行するまで MCP サーバーを完全に無効にします。Claude Code が実行中の信頼できないリポジトリを複製またはレビューしないでください。CI/CD では、プロジェクトスコープの MCP 承認を明示的に無効にします。エンタープライズは開発者環境をサンドボックス化し、Claude Code からの異常なプロセス生成を監視する必要があります。Anthropic は問題を脅威モデルの範囲外として特性化し、信頼ダイアログが十分な警告を提供すると主張しています。