Bezpečnostní odborníci upozornili na zranitelnost v editoru kódu Cursor, který je založen na umělé inteligenci. Slabina může vést k tomu, že se na počítači spustí škodlivý kód ve chvíli, kdy uživatel otevře úmyslně upravený repozitář. Problém spočívá v tom, že ve výchozím nastavení je deaktivována funkce Workspace Trust, takže útočníci mohou spustit libovolný kód s oprávněními oběti.
„Cursor je ve výchozím nastavení dodáván s funkcí Workspace Trust deaktivovanou, takže úlohy nakonfigurované s parametrem runOptions.runOn: ‚folderOpen‘ se spustí okamžitě, jakmile vývojář otevře projekt,“ vysvětlila společnost Oasis Security. V praxi to znamená, že škodlivý soubor .vscode/tasks.json může přeměnit pouhé otevření složky na spuštění úlohy v kontextu uživatele.
Cursor je odvozeninou Visual Studio Code, který využívá funkci Workspace Trust k bezpečnějšímu prohlížení a úpravám kódu. Pokud ale tato volba zůstane vypnutá, útočník může připravit repozitář s vloženou instrukcí „autorun“. Ta zajistí, že se po otevření spustí úloha, která provede škodlivý kód. „To může vést k úniku přihlašovacích údajů, úpravě souborů nebo sloužit jako vstupní bod pro širší kompromitaci systému,“ varoval Erez Schwartz z Oasis Security.
Uživatelům se proto doporučuje povolit v Cursoru funkci Workspace Trust, neověřené projekty otevírat v jiném editoru a předem kontrolovat obsah repozitářů.
Zranitelnost se objevila ve chvíli, kdy se prompt injection a jailbreak útoky stávají čím dál častějším problémem u AI nástrojů pro psaní kódu, jako jsou Claude Code, Cline či Windsurf. Tyto útoky využívají rafinovaně napsané pokyny, které mohou vést k úniku dat nebo spuštění nebezpečného kódu.
Checkmarx nedávno ukázal, že i nové bezpečnostní kontroly v Claude Code lze obejít. Stačí komentář, který systém přesvědčí, že zranitelný kód je bezpečný. „V takovém případě může pečlivě napsaný komentář přesvědčit Claude, že i zcela nebezpečný kód je naprosto bezpečný,“ uvedla firma. Riziko dále zvyšuje fakt, že Claude při testování generuje a spouští testovací případy, což by bez dostatečného sandboxu mohlo ohrozit i produkční databáze.
Anthropic, provozovatel Clauda, varoval, že funkce pro vytváření a úpravu souborů může být zneužita tzv. nepřímým prompt injection. V takovém případě mohou útočníci vložit škodlivé pokyny do externích souborů nebo webových stránek, které pak nástroj provede. „To znamená, že lze Clauda oklamat, aby odeslal informace ze svého kontextu škodlivým třetím stranám,“ uvedla společnost.
Zdroj: The Hacker News
