Pillar Security ने इस हफ़्ते TrustFall disclose किया — चार major AI command-line coding tools को affect करने वाली vulnerability class: Anthropic का Claude Code, Google का Gemini CLI, Cursor CLI और GitHub का Copilot CLI। common pattern: हर tool ऐसी configuration files पढ़ता है जो project के अंदर ship होती हैं, हर tool helper programs start करेगा जिन्हें वो config files point करती हैं, और हर tool single dialog box के साथ permission माँगता है जो ज़्यादातर cases में «yes» पर default करता है। तो एक attacker जो आपको malicious repository clone करवा सकता है — या outside contributors से pull request खुलवा सकता है — एक keystroke के through आपकी machine पर arbitrary code execution trigger कर सकता है। Cursor-specific instance में CVE-2026-26268 है; broader pattern चारों tools को affect करता है क्योंकि उन सबने same trust-model assumption किया: project-shipped config files trustworthy हैं।
इसका सबसे बुरा version वो है जो continuous integration में होता है। जब Claude Code GitHub Action पर चलता है — Anthropic जो official वाला publish करता है — वो headless mode में चलता है। कोई terminal नहीं, कोई human नहीं, कोई dialog box भी नहीं दिखता। एक stranger से pull request malicious config file ship करती है, CI runner उसे pick up करता है, और helper program उन credentials के against execute करता है जो उस runner के पास access है: source code, deploy keys, cloud secrets, internal tools। Pillar का writeup चलता है कि attack chain को सिर्फ़ एक prerequisite चाहिए (AI agent autonomously commands execute करना उस repo से जो उसका नहीं), और वो exactly वो workflow है जिसके लिए ये tools designed हैं। Cursor के लिए root cause Git में feature interaction था जो उस moment exploitable बनता है जब AI agent untrusted repository में autonomously Git operations execute करता है। बाक़ी तीन tools में same root cause के variants हैं: AI ने exactly वही किया जो उसकी config ने कहा, config attacker से आई, और model config provenance audit नहीं करता।
broader point वो है जो AI-coding-tools category को मुश्किल तरीक़े से सीखना पड़ा है: आपकी ओर से code execute करने वाले agents आपका blast radius inherit करते हैं। अगर आपके पास production में deploy कर सकने वाला credential है, आप जो AI use कर रहे हो उसके पास भी वो credential है। auto-approval dialogs जो yes पर default करते हैं वो early-2000s के «क्या आप ये ActiveX control run करना चाहते हो» prompts के security equivalent हैं — एक checkbox जो permission grant छुपाता है। इन tools को casually use करने वाले developers के लिए (one-off scripts, personal projects), practical risk contained है। काम पर इन्हें use करने वाले developers के लिए — ख़ासकर CI pipelines में, company credentials वाली machines पर, या privileged access वाले environments में — risk model को update चाहिए। TrustFall pattern variants find करता रहेगा जब तक पूरी category «AI default पर execute करती है जब तक आप उसे रोकें नहीं» से «AI default पर propose करती है जब तक आप approve न करें» में shift न हो जाए — जो Anthropic ने पिछले हफ़्ते Claude Code Auto Mode के साथ ship किए (यहाँ covered) के closer है, पर अभी कहीं और default नहीं है।
अभी क्या करें। Claude Code users के लिए: CVE patch वाली version पर update करो, outside contributors से PR triggers पर चलने वाले किसी भी AI-agent action के लिए अपने CI pipelines audit करो, और check करो कि क्या आपके build के दौरान कोई project config files agents द्वारा पढ़ी जाती हैं। Cursor users के लिए: explicitly CVE-2026-26268 के past update करो। Gemini CLI और Copilot CLI users के लिए: vendor advisories check करो — patches अलग-अलग speeds पर roll out हो रहे हैं। AI coding tools use करने वाले हर किसी के लिए: वो trust model जहाँ config files repos में ship होती हैं convenient है पर compromised; untrusted repositories को उसी तरह treat करो जैसे आप strangers से email attachments treat करोगे। broader category-level signal: AI coding tool security अब recognized class of vulnerability है, और research और find करती रहेगी। Auto-approval वो failure mode है जिसे design out करना है, default पर on छोड़ने वाला feature नहीं।