У редакторі коду Cursor знайшли баг, який автоматично запускає шкідливий код

У редакторі коду Cursor знайдена вразливість, яка наражає розробників на ризик автоматичного виконання шкідливого коду одразу після відкриття репозиторію. Про це повідомляє Bleeping Computer.

Дослідники Oasis Security виявили, що проблема виникає через те, що Cursor відключає функцію Workspace Trust, яка за замовчуванням працює у VS Code. Вона блокує автоматичне виконання завдань без явної згоди розробників.

На відміну від VS Code, у конфігурації за замовчуванням Cursor виконує завдання одразу після відкриття папки проекту. Зловмисник може скористатися цим, додавши шкідливий файл .vscode/tasks.json до загальнодоступного репозиторію.

«Коли користувач відкриває такий репозиторій з Cursor, навіть для простого перегляду, у його середовищі може бути запущено довільний код. Це може призвести до витоку конфіденційних облікових даних, зміни файлів або слугувати вектором для ширшого компрометування системи», — кажуть дослідники з Oasis Security.

Зловмисники можуть використовувати баг для встановлення шкідливого програмного забезпечення, отримання контролю над IDE або крадіжки облікових даних і токенів API. Щоб потрапити в ці неприємності, розробнику навіть не доведеться виконувати будь-яку команду.

Cursor — це інструмент для роботи з кодом, створений як форк Visual Studio Code (VS Code). Він має глибоку інтеграцію з основними LLM-моделями, такими як GPT-4 та Claude. Зараз Cursor є одним із найшвидше зростаючих ШІ-інструментів для кодування, який щодня використовує понад один мільйон програмістів для генерації більше мільярда рядків коду.

Цікаво, але після того, як представники Oasis Security повідомили команду Cursor про ризик вимкнення Workspace Trust за замовчуванням, розробник цього редактора коду заявив, що вони мають намір зберегти поведінку автозапуску в Cursor.

Команда Cursor рекомендує користувачам або вмикати функцію безпеки з VS Code, або використовувати простий текстовий редактор під час роботи з програмним забезпеченням, яке може бути шкідливим.

В Cursor також заявили, що незабаром оновлять свої рекомендації щодо безпеки, щоб пояснити свою позицію щодо Workspace Trust та додати інструкції щодо його активації.

Oasis Security рекомендує користувачам використовувати інший редактор для відкриття невідомих проектів, перевіряти репозиторії перед їх відкриттям та уникати експорту конфіденційних облікових даних у глобальному масштабі.