Cursor代码编辑器默认配置漏洞可导致任意代码执行
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
Oasis安全公司发现,AI代码编辑器Cursor存在设计缺陷,允许恶意代码在用户打开文件夹时静默执行。该漏洞源于Cursor默认关闭工作区信任功能,攻击者可通过特制文件自动运行恶意任务,窃取敏感数据。与Visual Studio Code相比,Cursor缺乏必要的安全保护,给开发者带来重大风险。
🎯
关键要点
- Oasis安全公司发现AI代码编辑器Cursor存在设计缺陷,允许恶意代码静默执行。
- 该漏洞源于Cursor默认关闭工作区信任功能,攻击者可通过特制文件自动运行恶意任务。
- Cursor缺乏必要的安全保护,与Visual Studio Code相比,给开发者带来重大风险。
- 攻击者可获取开发者环境中的敏感数据,包括API密钥和云凭证。
- 漏洞的根源在于Cursor允许任务自动运行,无需用户批准。
- 攻击者可通过植入特制的'.vscode/tasks.json'文件实现恶意任务的自动执行。
- 该漏洞不影响Visual Studio Code,因为其默认启用工作区信任功能。
- Cursor生态系统面临累积风险,之前已遭受多次攻击活动影响。
❓
延伸问答
Cursor代码编辑器的漏洞是什么?
Cursor存在设计缺陷,允许恶意代码在用户打开文件夹时静默执行,源于默认关闭工作区信任功能。
攻击者如何利用Cursor的漏洞?
攻击者通过在公开代码库中植入特制的'.vscode/tasks.json'文件,使得恶意任务在打开文件夹时自动执行。
Cursor与Visual Studio Code的安全性有何不同?
Cursor默认禁用工作区信任功能,而Visual Studio Code默认启用此功能,提供更好的安全保护。
该漏洞可能导致哪些安全风险?
漏洞可能导致攻击者窃取开发者环境中的敏感数据,如API密钥和云凭证。
Cursor生态系统面临哪些累积风险?
Cursor生态系统已遭受多次攻击活动影响,存在整体威胁的累积风险。
如何防范Cursor中的此类漏洞?
用户应谨慎使用Cursor,确保在打开文件夹前了解其内容,并考虑启用额外的安全措施。
➡️
