AI-кодеры под ударом: один клик по MCP-серверу и TrustFall ломает всю безопасность

Разработчики, которые доверили AI-кодерам вроде Cursor или Copilot писать за них код, возможно, скоро узнают, что такое «слив данных за один клик». Исследователи обнаружили уязвимость TrustFall, которая позволяет злоумышленникам выполнить произвольный код на машине жертвы, просто заставив AI-агента подключиться к подставному MCP-серверу.

Суть атаки стара как мир, но с современным соусом: AI-ассистент получает задание, ищет подходящий MCP-сервер в интернете, натыкается на вредоносный — и всё, ваш локальный CI/CD пайплайн теперь в руках хакера. Разработчик даже не успевает сказать «но это же production».

MCP (Model Context Protocol) — это такой протокол, который позволяет AI-моделям обращаться к внешним инструментам. Звучит удобно, пока кто-то не додумается подсунуть модели сервер, который вместо «показать погоду» запускает rm -rf /. TrustFall как раз эксплуатирует доверие AI к любым MCP-серверам, не проверяя их подпись или репутацию.

Что делать? Пока вендоры AI-инструментов чешут затылки, разработчикам стоит на время отключить автоматическое подключение к внешним MCP-серверам. Или хотя бы молиться, чтобы ваш AI-помощник не решил «оптимизировать» себе доступ к npm install.

Комментарий студии METABYTE: Мы всегда говорили, что доверять AI код — это как давать ключи от квартиры незнакомцу. Но если уж доверили, хотя бы проверьте, какие сервера он вызывает. Наши разработчики настраивают безопасные MCP-прокси, чтобы AI не утащил ваш продакшен в тёмный лес.