事件经过
Adversa AI披露了TrustFall(发布于2026年5月7日,在窗口中主动流传和引用):Claude Code的文件夹信任对话框中的回归,结合设置范围不一致,允许恶意克隆的仓库仅通过单个开发人员按键运行不沙箱化代码——在CI运行器上零按键,其中工作区信任自动授予。相同的信任对话类缺陷影响Cursor、Gemini CLI和GitHub Copilot。该帖子演示了为什么信任对话错误不断重新出现:信任模型在项目与本地与策略设置范围中实现不一致。
影响分析
通过克隆仓库在开发人员工作站上单击RCE是低摩擦、高收益攻击。CI运行器上零点击意味着拉取和构建不受信任代码的自动化管道被默默利用。四个受影响的工具总体上代表企业环境中AI辅助开发工作流的绝大多数。信任对话回归类的重复性质表明没有供应商已解决潜在的设计问题。
攻击途径
恶意仓库嵌入利用信任范围不一致的项目级设置;开发人员打开仓库并响应信任提示(单击)或CI运行器自动信任工作区(零点击);不沙箱化代码以用户权限执行
受影响系统
Claude Code(2026年5月信任对话加强前的版本)、Cursor、Gemini CLI、GitHub Copilot CLI——2026年5月披露时的所有版本
缓解措施
为所有代码执行操作强制执行强制性人工在线验证;隔离CI运行器与凭证轮换;应用严格的工作区信任策略。Adversa AI公告:https://adversa.ai/blog/trustfall-coding-agent-security-flaw-rce-claude-cursor-gemini-cli-copilot/