Pillar Security a divulgué TrustFall cette semaine — une classe de vulnérabilités affectant les quatre outils AI command-line de coding majeurs : Claude Code d'Anthropic, Gemini CLI de Google, Cursor CLI et Copilot CLI de GitHub. Le pattern commun : chaque outil lit des fichiers de configuration qui ship dans un projet, chaque outil va start des programmes helper auxquels ces fichiers config pointent, et chaque outil demande permission avec une seule dialog box qui, dans la plupart des cas, default à « oui ». Donc un attaquant qui peut te faire cloner un repository malicieux — ou ouvrir une pull request d'outside contributors — peut trigger l'exécution de code arbitraire sur ta machine via un keystroke. L'instance spécifique-Cursor a CVE-2026-26268 ; le pattern plus large affecte les quatre outils parce qu'ils ont tous fait la même assumption trust-model : les fichiers config project-shipped sont trustworthy.

La pire version de ça, c'est ce qui se passe en continuous integration. Quand Claude Code run sur un GitHub Action — celui officiel qu'Anthropic publish — il run en mode headless. Pas de terminal, pas d'humain, pas même une dialog box qui apparaît. Une pull request d'un stranger ship un fichier config malicieux, le CI runner le pick up, et le programme helper exécute against n'importe quels credentials auxquels ce runner a accès : source code, deploy keys, cloud secrets, internal tools. Le writeup de Pillar walk through comment la chaîne d'attaque ne require qu'un prerequisite (l'agent AI exécutant autonomement des commands d'un repo qu'il ne possède pas), et c'est exactement le workflow pour lequel ces outils sont designed. La cause root pour Cursor était une interaction de feature dans Git qui devient exploitable au moment où un agent AI exécute autonomement des opérations Git dans un repository untrusted. Les trois autres outils ont des variantes de la même cause root : l'AI a fait exactement ce que son config disait de faire, le config venait d'un attaquant, et le modèle n'audit pas la provenance du config.

Le point plus large, c'est quelque chose que la catégorie AI-coding-tools a dû apprendre à la dure : les agents qui exécutent du code en ton nom héritent de ton blast radius. Si t'as un credential qui peut deploy en prod, l'AI que tu uses a ce credential aussi. Les dialogs auto-approval qui default à oui sont l'équivalent sécurité des prompts « est-ce que tu veux run ce ActiveX control » des années 2000 — une checkbox qui cache une permission grant. Pour les développeurs qui utilisent ces outils casually (scripts one-off, projets personnels), le risque pratique est contained. Pour les développeurs qui les utilisent au travail — surtout dans des pipelines CI, sur des machines avec credentials d'entreprise, ou dans des environments avec privileged access — le modèle de risque a besoin d'un update. Le pattern TrustFall va continuer à trouver des variantes jusqu'à ce que la catégorie entière shift de « l'AI exécute par défaut sauf si tu l'arrêtes » à « l'AI propose par défaut sauf si tu approves » — qui est plus proche de ce qu'Anthropic a shippé avec Claude Code Auto Mode la semaine dernière (couvert ici), mais qui n'est pas encore le default ailleurs.

Quoi faire maintenant. Pour les users Claude Code : update à la version avec le patch CVE, audit tes pipelines CI pour n'importe quelle AI-agent action qui run sur des triggers PR d'outside contributors, et check si n'importe quels fichiers de config project sont lus par les agents pendant ton build. Pour les users Cursor : update past CVE-2026-26268 explicitement. Pour les users Gemini CLI et Copilot CLI : check les vendor advisories — les patches roll out à des vitesses variées. Pour tout le monde qui utilise des outils AI coding : le trust model où les fichiers config ship dans les repos est convenient mais compromise ; treat les repositories untrusted comme tu treaterais les pièces jointes email de strangers. Le signal catégorie-level plus large : la sécurité des outils AI coding est maintenant une classe de vulnérabilité reconnue, et la recherche va continuer à en trouver plus. L'auto-approval est le mode de failure à design out, pas la feature à leave on par défaut.