
Tekoälyagenttien kyky lukea projektin ohjeita ja liittää uusia työkaluja automaattisesti on samalla uusi ohjelmistojen toimitusketjuriski. Check Point Researchin mukaan tavallinen Markdown- tai JSON-tiedosto voi ohittaa agentin turvarajat, käynnistää komentoja ja liittää siihen haitallisen MCP-palvelimen ennen kuin kehittäjä ehtii nähdä varoitusta.
Check Point Researchin uuden AI Security Report 2026 -raportin pääviesti on, että tekoäly on siirtynyt hyökkäysten avustajasta niiden aktiiviseksi suorittajaksi. Raportista käy ilmi, miten helposti itse tekoälyagentin toimintaa voidaan ohjata projektihakemistoon sijoitetuilla tiedostoilla.
Claude Coden ja Cursorin kaltaiset koodausagentit lukevat istunnon alussa automaattisesti esimerkiksi CLAUDE.md-tiedoston ja käsittelevät sen sisältöä luotettuna ohjeistuksena. Hyökkääjän ei siten tarvitse murtaa mallia jokaisessa istunnossa erikseen. Riittää, että turvallisuusrajoitukset ohittava ohje sijoitetaan tiedostoon kerran.
Menetelmää käytettiin raportin mukaan hyökkäyksessä, jossa yksi operaattori murtautui yhdeksän Meksikon valtion viraston järjestelmiin. Hyökkääjä käytti Claude Codea verkkoihin tunkeutumiseen ja GPT-4.1:tä varastettujen tietojen analysointiin.
Kun Claude aluksi kieltäytyi osallistumasta hyökkäykseen, operaattori sijoitti tunkeutumistestauksen ohjeet CLAUDE.md-tiedostoon. Kaikki myöhemmät istunnot omaksuivat ohjeet automaattisesti. Hyökkääjän 1 088 kirjoittamaa komentoa tuotti kaikkiaan 5 317 tekoälyn suorittamaa komentoa 34 istunnossa.
Samaa luottamusmekanismia voidaan käyttää myös toisen kehittäjän agenttia vastaan. Check Point Research löysi Claude Codesta haavoittuvuuden, jossa projektin .claude/settings.json-tiedostoon piilotettu asetus käynnisti hyökkääjän komennon heti, kun agentti avasi projektin. Kehittäjän ei tarvinnut itse avata tiedostoa tai hyväksyä komentoa.
Toinen projektitiedosto, .mcp.json, pystyi puolestaan käynnistämään haitallisen Model Context Protocol- eli MCP-palvelimen ilman käyttäjälle näytettävää varoitusta. Erillisessä haavoittuvuudessa kehittäjän istunto voitiin ohjata hyökkääjän palvelimen kautta, jolloin kirjautumistunnuksia ja avaimia voitiin kaapata.
Haavoittuvuudet on korjattu, mutta Check Pointin mukaan niiden hyödyntämä perusrakenne on laajempi ongelma. Monet koodausagentit luottavat automaattisesti projektin asetustiedostoihin, MCP-palvelimiin ja muihin komponentteihin, vaikka ne olisivat tulleet vetopyynnön, vieraan ohjelmistovaraston tai saastuneen lähdekoodin mukana.
Raportin mukaan tietoturvaongelmia löytyi 40 prosentista Check Pointin tarkastamista 10 000 MCP-palvelimesta. Noin 46 500 julkaistun ohjelmistopaketin joukosta löytyi lisäksi 428 pakettia, joihin Claude Coden paikallinen asetustiedosto oli päätynyt vahingossa. Noin joka 13. näistä tiedostoista sisälsi edelleen toimivia NPM-tunnuksia tai GitHub- ja Hugging Face -avaimia.
Perinteinen lähdekoodin tarkastus ei välttämättä riitä, jos agentti voi tulkita Markdown-ohjeet, asetustiedostot ja ulkoisten MCP-palvelimien kuvaukset komennoiksi. Tekoälyagentti ei ole tällöin vain kehittäjän työkalu, vaan myös uusi toimitusketjun hyökkäyspinta.
Raporttiin voit tutustua täällä.










<









