무슨 일이 있었나
GitHub 보안 공지(CVSS 7.8)는 AI coding-agent CLI인 ForgeCode가 repository 제공 .mcp.json 파일에 정의된 MCP 서버 명령을 무분별하게 신뢰하고 자동 실행하여, 악의적인 repo 작성자에게 ForgeCode에서 repository를 여는 모든 개발자에게 코드 실행을 제공함을 공개했습니다.
왜 중요한가
이는 repository 제공 구성이 신뢰할 수 있는 코드로 취급되는 반복적인 AI coding-agent 취약점 클래스의 일부입니다(Cursor 및 기타 도구에서도 확인됨). "clone하고 프로젝트 열기"는 AI coding agents를 사용하는 개발자들에 대한 원클릭 RCE 벡터로 변환되며, 이는 빠르게 증가하는 인구입니다.
공격 경로
ForgeCode는 repository의 .mcp.json 파일에 정의된 MCP 서버를 시작 시 사용자 확인 없이 자동으로 로드하고 실행합니다. 악의적인 repository는 mcpServers 항목이 임의의 명령과 인수를 지정하는 crafted .mcp.json을 제공할 수 있으며, ForgeCode는 개발자가 도구에서 repo를 여는 순간 이를 실행합니다.
영향받는 시스템
ForgeCode (tailcallhq/forgecode) — 확인 없이 repository .mcp.json을 자동 로드하는 모든 버전
완화 방안
공개 시점에 공지된 확인된 패치 버전 없음. 해결책은 신뢰할 수 없는 repository의 .mcp.json을 검토한 후 ForgeCode에서 열고, 지원되는 경우 repo-local MCP configs의 자동 로드를 비활성화하는 것입니다.