افشای تکنیک TrustFall؛ ریسک اجرای کد مخرب در Claude Code و ابزارهای هوش مصنوعی کدنویسی

پژوهشگران امنیت سایبری از شناسایی تکنیک TrustFall خبر داده‌اند که می‌تواند باعث اجرای کد مخرب در ابزارهای کدنویسی مبتنی بر هوش مصنوعی (AI Coding Tools) مانند Claude Code، Cursor CLI، Gemini CLI و Copilot CLI شود. در این سناریو، تکنیک TrustFall با سوءاستفاده از نحوه طراحی «دیالوگ اعتماد» (Trust Dialog) در این ابزارها، امکان اجرای خودکار کد مهاجم را با حداقل تعامل کاربر فراهم می‌کند.

بر اساس تحقیقات شرکت امنیتی Adversa AI، این مسئله به نحوه نمایش هشدار هنگام اعتماد به یک ریپازیتوری مربوط می‌شود؛ جایی که توسعه‌دهنده بدون دریافت توضیح کامل درباره پیامدهای امنیتی، ممکن است به یک پروژه مخرب اعتماد کند.

مکانیزم اجرای حمله در تکنیک TrustFall

طبق بررسی پژوهشگران، مهاجمان می‌توانند با ایجاد یک ریپازیتوری مخرب، پیکربندی پروژه را طوری طراحی کنند که سرور MCP به‌صورت خودکار اجرا شود.

زمانی که توسعه‌دهنده:

• یک ریپازیتوری را کلون (clone) کند.
• آن را در یک ابزار هوش مصنوعی کدنویسی باز کند.
• گزینه Trust را تأیید کند.

ابزار توسعه ممکن است بدون هشدار واضح، کد مهاجم را با سطح دسترسی کامل کاربر اجرا کند.

به گفته Rony Utevsky پژوهشگر ارشد Adversa AI، یک ریپازیتوری می‌تواند شامل پیکربندی‌ای باشد که اجرای سرور MCP را به‌طور خودکار تأیید کرده و بلافاصله آن را اجرا کند، بدون اینکه حتی نیازی به فراخوانی ابزار توسط Agent هوش مصنوعی باشد.

نقش سرور MCP در سناریوی تکنیک TrustFall

در تکنیک TrustFall، سرورهای MCP به‌عنوان پردازه‌های بومی سیستم‌عامل اجرا می‌شوند و محدود به محیط ایزوله (sandbox) نیستند. این امر به مهاجم اجازه می‌دهد دسترسی گسترده‌ای به منابع سیستم پیدا کند.

پیلود این حمله می‌تواند قابلیت‌های مخرب زیر را در اختیار مهاجم قرار دهد:

• دسترسی و سرقت فایل‌های لوکال
• سرقت اعتبارنامه‌ها، کلیدهای SSH و توکن‌های امنیتی
• دسترسی به سایر پروژه‌های موجود در سیستم توسعه‌دهنده
• نصب بک‌دور برای دسترسی‌های آتی
• ایجاد ارتباط با سرور فرماندهی و کنترل (C2)

در محیط‌های CI/CD، این زنجیره اجرای کد می‌تواند بدون نیاز به تعامل انسانی انجام شود و منجر به تسلط کامل بر ماشین توسعه یا سرورهای بیلد (Build Servers) گردد.

تغییرات Claude Code و افزایش سطح ریسک

گزارش Adversa AI به تغییر مهمی در نسخه 2.1 ابزار Claude Code اشاره می‌کند؛ جایی که پیام هشدار مربوط به اجرای سرور MCP حذف شده است.

در نسخه‌های قبلی Claude Code:

• هشدار صریح درباره اجرای MCP نمایش داده می‌شد.
• امکان غیرفعال کردن MCP هنگام اعتماد به پروژه وجود داشت.

اما اکنون پیام نمایش داده شده تنها شامل عبارت ساده زیر است:

• «Yes, I trust this folder»

به گفته محققان، این تغییر باعث شده است که اقدامات معمول توسعه‌دهندگان مانند باز کردن یا بررسی ریپازیتوری کد، به یک ریسک امنیتی جدی تبدیل شود.

سه روش سوءاستفاده از پیکربندی برای اجرای کد در تکنیک TrustFall

محققان سه روش مشخص را شناسایی کرده‌اند که مهاجمان می‌توانند از آن‌ها برای اجرای کد مخرب استفاده کنند:

• اجرای خودکار سرور MCP: در این روش، پیکربندی پروژه طوری طراحی می‌شود که سرور MCP مخرب بدون جلب توجه کاربر، بلافاصله پس از تأیید Trust اجرا گردد.
• قرار دادن پیلود در فایل پیکربندی: مهاجم می‌تواند پیلود را مستقیماً در فایل پیکربندی پروژه قرار دهد تا شناسایی آن توسط اسکنرهای امنیتی دشوارتر شود و اجرای کد مخفی باقی بماند.
• پیش‌تأیید فراخوانی ابزارها: در این سناریو، برخی فراخوانی‌های ابزار از قبل در تنظیمات پروژه مجاز شده‌اند، به‌طوری که اجرای کد بدون هیچ‌گونه تعامل اضافی از سوی کاربر انجام می‌شود.

ارتباط تکنیک TrustFall با آسیب‌پذیری‌های دیگر Claude Code

تکنیک TrustFall در کنار سه آسیب‌پذیری دیگر Claude Code مطرح شده است که پیش‌تر توسط Anthropic پچ شده‌اند:

• CVE‑2025‑59536
• CVE‑2026‑21852
• CVE‑2026‑33068

این آسیب‌پذیری‌ها امکان سوءاستفاده از تنظیمات پروژه را فراهم می‌کردند تا مهاجم بتواند عملکرد ابزار را به‌صورت مخفیانه و بدون اطلاع توسعه‌دهنده تغییر دهد.

چرا این موضوع آسیب‌پذیری رسمی محسوب نمی‌شود؟

Anthropic اعلام کرده است که تکنیک TrustFall خارج از مدل تهدید (Threat Model) محصول قرار دارد. به‌گفته این شرکت، اجرای کد مخرب تنها زمانی رخ می‌دهد که کاربر به‌صورت صریح به پروژه اعتماد کند؛ بنابراین از دید Anthropic، این عملکرد آسیب‌پذیری رسمی محسوب نمی‌شود.

با این حال، پژوهشگران Adversa AI معتقدند کاربران تصمیم کاملاً آگاهانه نمی‌گیرند؛ زیرا دیالوگ اعتماد اطلاعات کافی درباره پیامدهای امنیتی، از جمله اجرای سرور MCP و دسترسی‌های سطح سیستم، ارائه نمی‌دهد.

کاهش ریسک این نوع حملات

برای کاهش ریسک چنین تهدیداتی، سازمان‌ها باید کنترل‌های امنیتی بیشتری در محیط‌های توسعه و pipelineهای CI/CD اعمال کنند. اقدامات پیشنهادی شامل موارد زیر است:

• بررسی دقیق تنظیمات پروژه‌ها پیش از اجرای ابزارهای کدنویسی هوش مصنوعی
• مانیتورینگ عملکرد ابزارهای توسعه برای شناسایی پردازه‌های غیرعادی
• جلوگیری از اجرای خودکار ابزارهای هوش مصنوعی روی کدهای ناشناس در محیط CI/CD
• اعتبارسنجی ریپازیتوری‌ها پیش از باز کردن یا کلون کردن آن‌ها
• استفاده از مانیتورینگ عملکرد سیستم برای شناسایی فعالیت‌های مشکوک یا غیرعادی

با توجه به افزایش حملات زنجیره تأمین و انتشار بسته‌های متن‌باز مخرب، بررسی دقیق تنظیمات پروژه‌ها و ابزارهای توسعه به یک الزام امنیتی حیاتی برای سازمان‌ها تبدیل شده است.

منابع