- 20,462
- 46
- 8 Ноя 2022
Cursor пожертвовал безопасностью миллиона пользователей ради удобства нейросети.
Специалисты Oasis Security сообщили об уязвимости в редакторе кода Cursor , которая позволяет запускать произвольные задачи при открытии репозитория. Проблема связана с тем, что, в отличие от Visual Studio Code, в Cursor по умолчанию отключена функция Workspace Trust, блокирующая автоматическое выполнение задач без согласия пользователя. В результате достаточно добавить в проект файл .vscode/tasks.json, чтобы при открытии папки вредоносный код сразу выполнился на машине разработчика.
Cursor — это быстро набирающая популярность среда разработки с интеграцией GPT-4 и Claude, которой ежедневно пользуется около миллиона программистов, генерирующих более миллиарда строк кода. Автоматический запуск задач делает её удобной для работы с ИИ, но одновременно создаёт риск компрометации: атакующий может внедрить троян, украсть токены и ключи API, подключиться к управляющему серверу или использовать заражение как точку входа для атаки на цепочку поставок.
Чтобы подтвердить опасность, специалисты из Oasis Security создали демонстрационный tasks.json, который при открытии проекта в Cursor незаметно отправляет имя текущего пользователя. В отличие от этого, VS Code в стандартной конфигурации не выполняет такой файл автоматически, что делает его безопаснее в аналогичном сценарии.
Разработчики Cursor признали проблему, но отказались возвращать Workspace Trust по умолчанию, заявив, что это ограничивает работу встроенных ИИ-функций, ради которых продукт и создавался. Команда посоветовала тем, кто работает с непроверенными проектами, включить настройку безопасности вручную либо использовать обычный текстовый редактор. Компания пообещала выпустить обновлённое руководство с пояснениями и инструкциями.
Исследователи, в свою очередь, рекомендуют открывать неизвестные репозитории только в сторонних редакторах, проверять содержимое проектов до их запуска и не хранить чувствительные данные глобально в профилях оболочки. Также они опубликовали параметры конфигурации, позволяющие вручную включить Workspace Trust в Cursor, чтобы снизить риск автоматического выполнения вредоносных задач.
Специалисты Oasis Security сообщили об уязвимости в редакторе кода Cursor , которая позволяет запускать произвольные задачи при открытии репозитория. Проблема связана с тем, что, в отличие от Visual Studio Code, в Cursor по умолчанию отключена функция Workspace Trust, блокирующая автоматическое выполнение задач без согласия пользователя. В результате достаточно добавить в проект файл .vscode/tasks.json, чтобы при открытии папки вредоносный код сразу выполнился на машине разработчика.
Cursor — это быстро набирающая популярность среда разработки с интеграцией GPT-4 и Claude, которой ежедневно пользуется около миллиона программистов, генерирующих более миллиарда строк кода. Автоматический запуск задач делает её удобной для работы с ИИ, но одновременно создаёт риск компрометации: атакующий может внедрить троян, украсть токены и ключи API, подключиться к управляющему серверу или использовать заражение как точку входа для атаки на цепочку поставок.
Чтобы подтвердить опасность, специалисты из Oasis Security создали демонстрационный tasks.json, который при открытии проекта в Cursor незаметно отправляет имя текущего пользователя. В отличие от этого, VS Code в стандартной конфигурации не выполняет такой файл автоматически, что делает его безопаснее в аналогичном сценарии.
Разработчики Cursor признали проблему, но отказались возвращать Workspace Trust по умолчанию, заявив, что это ограничивает работу встроенных ИИ-функций, ради которых продукт и создавался. Команда посоветовала тем, кто работает с непроверенными проектами, включить настройку безопасности вручную либо использовать обычный текстовый редактор. Компания пообещала выпустить обновлённое руководство с пояснениями и инструкциями.
Исследователи, в свою очередь, рекомендуют открывать неизвестные репозитории только в сторонних редакторах, проверять содержимое проектов до их запуска и не хранить чувствительные данные глобально в профилях оболочки. Также они опубликовали параметры конфигурации, позволяющие вручную включить Workspace Trust в Cursor, чтобы снизить риск автоматического выполнения вредоносных задач.
- Источник новости
- www.securitylab.ru
