A Pillar Security divulgou TrustFall esta semana — uma classe de vulnerabilidades afetando as quatro ferramentas AI command-line de coding principais: Claude Code da Anthropic, Gemini CLI do Google, Cursor CLI e Copilot CLI do GitHub. O padrão comum: cada ferramenta lê arquivos de configuração que shipam dentro de um projeto, cada ferramenta vai iniciar programas helper aos quais esses arquivos config apontam, e cada ferramenta pede permissão com um único diálogo que, na maioria dos casos, default para «sim». Então um atacante que pode te fazer clonar um repositório malicioso — ou abrir um pull request de outside contributors — pode disparar execução de código arbitrário na sua máquina via uma tecla. A instância específica-Cursor tem CVE-2026-26268; o padrão mais amplo afeta as quatro ferramentas porque todas fizeram a mesma suposição de trust-model: arquivos config shipados com projeto são confiáveis.

A pior versão disso é o que acontece em continuous integration. Quando Claude Code roda numa GitHub Action — a oficial que a Anthropic publica — roda em modo headless. Sem terminal, sem humano, nem aparece um diálogo. Um pull request de um estranho shipa um arquivo config malicioso, o CI runner pega ele, e o programa helper executa contra quaisquer credenciais a que esse runner tenha acesso: código fonte, deploy keys, secrets de cloud, ferramentas internas. O writeup da Pillar percorre como a cadeia de ataque só requer um pré-requisito (o agente AI executando autonomamente comandos de um repo que ele não possui), e esse é exatamente o workflow para o qual essas ferramentas estão projetadas. A causa raiz para o Cursor foi uma interação de feature no Git que se torna explorável no momento em que um agente AI executa autonomamente operações Git num repositório não-confiável. As outras três ferramentas têm variantes da mesma causa raiz: a AI fez exatamente o que seu config dizia para fazer, o config veio de um atacante, e o modelo não audita procedência do config.

O ponto mais amplo é algo que a categoria de ferramentas AI-coding teve que aprender da maneira mais difícil: agentes que executam código em seu nome herdam seu blast radius. Se você tem uma credencial que pode fazer deploy para produção, a AI que você usa tem essa credencial também. Diálogos de auto-aprovação que default para sim são o equivalente de segurança dos prompts «você quer rodar este controle ActiveX?» do início-2000 — uma checkbox que esconde uma concessão de permissão. Para developers usando essas ferramentas casualmente (scripts one-off, projetos pessoais), o risco prático é contido. Para developers usando elas no trabalho — especialmente em pipelines CI, em máquinas com credenciais de empresa, ou em ambientes com acesso privilegiado — o modelo de risco precisa de uma atualização. O padrão TrustFall vai continuar encontrando variantes até que a categoria inteira mude de «AI executa por default a menos que você pare» para «AI propõe por default a menos que você aprove» — que é mais perto do que a Anthropic shipou com Claude Code Auto Mode na semana passada (coberto aqui), mas não é ainda o default em outros lugares.

O que fazer agora. Para usuários de Claude Code: atualize para a versão com o patch CVE, audite seus pipelines CI para qualquer ação de agente AI rodando em triggers PR de outside contributors, e verifique se quaisquer arquivos config de projeto são lidos por agentes durante seu build. Para usuários Cursor: atualize além do CVE-2026-26268 explicitamente. Para usuários Gemini CLI e Copilot CLI: verifique os vendor advisories — patches estão saindo em velocidades variadas. Para todos usando ferramentas AI coding: o modelo de confiança em que arquivos config shipam dentro de repos é conveniente mas comprometido; trate repositórios não-confiáveis como trataria anexos de email de estranhos. O sinal mais amplo em nível de categoria: a segurança de ferramentas AI coding agora é uma classe reconhecida de vulnerabilidade, e a pesquisa vai continuar encontrando mais. Auto-aprovação é o modo de falha a projetar para fora, não a feature a deixar ligada por default.