技术说明
Claude Code 版本 2.1 弱化了其信任对话框,允许恶意仓库自动批准并立即启动具有完整开发者权限的 MCP 服务器。仓库可以嵌入恶意 MCP 服务器和配置设置,当开发者在通用的"信任此文件夹"提示上按下回车键时立即执行任意代码。在具有自动信任功能的 CI/CD 环境中,无需用户交互。
攻击途径
攻击者创建一个包含恶意 MCP 服务器和项目范围配置的 GitHub 仓库,该配置可自动批准执行。当开发者克隆或在 Claude Code 中打开该仓库并接受信任对话框(默认:'信任')时,MCP 服务器以无沙盒的操作系统进程权限启动。有效载荷可以窃取 SSH 密钥、机密信息、令牌,安装后门,并建立 C2 通信。该攻击在 CI/CD 管道中也可零点击执行。
受影响系统
Claude Code 版本 2.1 及更高版本。先前版本明确警告 MCP 执行并提供禁用 MCP 继续的选项;这两个警告在 2.1 版本中被移除。Adversa AI 于 2026 年 5 月 7 日披露此问题为 'TrustFall'。三个先前的 CVE(CVE-2025-59536、CVE-2026-21852、CVE-2026-33068)解决了类似问题,但未解决根本问题类别。
缓解措施
如果可能,降级到 Claude Code 2.1 之前的版本,或完全禁用 MCP 服务器直到 Anthropic 发布补丁。永远不要在运行 Claude Code 时克隆或审查不受信任的仓库。在 CI/CD 中,明确禁用项目范围的 MCP 批准。企业应该对开发者环境进行沙盒化,并监控来自 Claude Code 的异常进程生成。Anthropic 将此问题描述为超出其威胁模型范围,声称信任对话框提供了足够的警告。