資安公司 Adversa AI 近期揭露，由 Anthropic 開發的人工智慧程式碼工具 Claude Code 存在一項「一鍵遠端程式碼執行」（one-click remote code execution, RCE）漏洞，該漏洞被命名為 TrustFall。此安全問題不僅影響 Claude Code，也可能波及 Gemini CLI、Cursor CLI 和 Copilot CLI 等其他人工智慧代理程式介面（agent CLIs）。

Adversa AI 指出，攻擊者可透過複製的程式碼儲存庫中內含的兩個 JSON 檔案（.mcp.json 和 .claude/settings.json），啟用由攻擊者控制的模型上下文協定（Model Context Protocol, MCP）伺服器。一旦開發者在 Claude Code 的「是，我信任此資料夾」對話框中按下「Enter」，該伺服器便會以未沙盒化的 Node.js 處理程序啟動，並擁有使用者的完整權限，且無需額外的伺服器許可或 Claude 工具呼叫。

Adversa AI 聯合創辦人 Alex Polyakov 表示：「這是 Claude Code 六個月內，第三個源自相同根本原因（將專案範圍設定作為注入載體）的 CVE（通用漏洞披露編號）。」他補充道，雖然每個漏洞都會被單獨修補，但底層的問題尚未獲得根本解決。Polykov 進一步說明，大多數開發者不知道這些設定的存在，更遑論經複製的程式碼儲存庫能悄無聲息地設定它們。

Anthropic 則認為，由於使用者在遇到對話框時選擇了信任，因此此問題超出了其威脅模型的範圍。這與先前的 CVE-2025-59536 不同，後者會在使用惡意目錄啟動 Claude Code 時自動觸發，被視為漏洞。然而，Adversa AI 的 Sergey Malenkovich 反駁，使用者在當前設計下並未獲得充分的知情同意。

Malenkovich 提到，在 Claude Code CLI v2.1 版本之前，對話框會明確警告 .mcp.json 可能執行程式碼，並提供「在 MCP 伺服器停用狀態下繼續」的選項。然而，v2.1 之後移除了這種「知情同意」的使用者體驗，目前的對話框預設為「是，我信任此資料夾」，沒有明確提及 MCP 相關語言，也未列出將啟動的可執行檔，更缺乏在維持其他信任授予的同時，排除 MCP 的選項。

Adversa AI 建議 Anthropic 應採取三項措施：首先，禁止專案內設定檔啟用 enableAllProjectMcpServers、enabledMcpjsonServers 和 permissions.allow 等危險設定；其次，實施專用的 MCP 同意對話框，並預設為「拒絕」；最後，針對每個伺服器而非所有伺服器，要求互動式同意。截至目前為止，Anthropic 未對此請求發表評論。