기술 설명
Claude Code 버전 2.1은 신뢰 대화를 약화시켜 악의적 저장소가 MCP 서버를 자동 승인하고 개발자 권한으로 즉시 시작할 수 있도록 했습니다. 저장소는 개발자가 일반적인 '이 폴더 신뢰' 프롬프트에서 Enter를 누르는 순간 임의 코드를 실행하는 악의적 MCP 서버와 구성 설정을 포함할 수 있습니다. 자동 신뢰가 설정된 CI/CD 환경에서는 사용자 상호작용이 필요하지 않습니다.
공격 경로
공격자는 악의적 MCP 서버와 프로젝트 범위 구성을 포함하는 GitHub 저장소를 생성합니다. 개발자가 Claude Code에서 저장소를 복제하거나 열고 신뢰 대화(기본값: 'Trust')를 수락하면 MCP 서버가 샌드박스 처리되지 않은 OS 프로세스 권한으로 시작됩니다. 페이로드는 SSH 키, 비밀, 토큰을 탈취하거나 백도어를 설치하고 C2를 구축할 수 있습니다. 공격은 또한 CI/CD 파이프라인에서 클릭 없이 작동합니다.
영향받는 시스템
Claude Code 버전 2.1 이상. 이전 버전들은 MCP 실행에 대해 명시적으로 경고하고 MCP를 비활성화한 상태로 진행할 수 있는 옵션을 제공했으나, 두 경고 모두 2.1에서 제거되었습니다. Adversa AI는 2026년 5월 7일 이 문제를 'TrustFall'로 공개했습니다. 3개의 선행 CVE(CVE-2025-59536, CVE-2026-21852, CVE-2026-33068)가 유사한 문제를 다루었으나 근본적인 클래스는 아닙니다.
완화 방안
가능하면 Claude Code 2.1 이전 버전으로 다운그레이드하거나 Anthropic이 패치를 발표할 때까지 MCP 서버를 완전히 비활성화하세요. Claude Code가 실행 중일 때 신뢰할 수 없는 저장소를 복제하거나 검토하지 마세요. CI/CD에서 프로젝트 범위 MCP 승인을 명시적으로 비활성화하세요. 엔터프라이즈는 개발자 환경을 샌드박스 처리하고 Claude Code의 비정상적인 프로세스 생성을 모니터링해야 합니다. Anthropic은 이 문제를 자신의 위협 모델 외부에 있다고 특성화했으며, 신뢰 대화가 충분한 경고를 제공한다고 주장합니다.