Cursor AI代码编辑器缺陷可通过恶意存储库实现静默代码执行

安全运维 2025-09-13 mervin 手机阅读

人工智能 (AI) 驱动的代码编辑器中披露了一个安全漏洞游标当使用该程序打开恶意制作的存储库时,这可能会触发代码执行。

该问题源于默认情况下禁用了开箱即用的安全设置,从而为攻击者以其权限在用户的计算机上运行任意代码打开了大门。

“Cursor默认情况下会禁用工作区信任,因此使用runOptions.ru配置的VS代码样式任务nOn: 'folderOpen' 在开发人员浏览项目时自动执行,” Oasis Security说在分析中。“一个恶意的。vscode/tasks.json将临时的 “打开文件夹” 变成用户上下文中的静默代码执行。

Cursor是Visual Studio Code的一个AI驱动的分支,它支持一个名为工作区信任允许开发人员安全地浏览和编辑代码,无论它来自何处或由谁编写。

禁用此选项后,攻击者可以在GitHub (或任何平台) 中提供项目并包括一个隐藏的 “自动运行” 指令,该指令指示IDE在打开文件夹后立即执行任务,导致在受害者尝试浏览游标中诱杀的存储库时执行恶意代码。

“这有可能泄露敏感凭证,修改文件,或成为更广泛的系统妥协的载体,使光标用户面临供应链攻击的重大风险,” Oasis安全研究员Erez Schwartz说。

为了应对这种威胁,建议用户在Cursor中启用工作场所信任,在不同的代码编辑器中打开不受信任的存储库,并在工具中打开它们之前对其进行审核。

发展是作为提示注射和越狱有出现作为一种隐秘和系统性的威胁,困扰着像克劳德代码这样的人工智能编码和推理代理,Cline,K2认为,和风帆冲浪,允许威胁行为者嵌入中的恶意指令偷偷摸摸的方式诱使系统执行恶意操作或从软件开发环境中泄漏数据。

软件供应链安全机构Checkmarx在上周的一份报告中透露了Anthropic新推出的自动安全审查在Claude中,代码可能会无意中使项目面临安全风险,包括指示它通过提示注入忽略易受攻击的代码,从而导致开发人员将恶意或不安全的代码推送到安全审查中。

“在这种情况下,精心撰写的评论可以使克劳德相信,即使是明显危险的代码也是完全安全的,” 该公司说。最终结果是: 开发人员 -- 无论是恶意的还是只是试图让克劳德闭嘴 -- 都可以轻易地欺骗克劳德,让他认为一个漏洞是安全的。

另一个问题是,AI检查过程还会生成并执行测试用例,如果Claude代码没有正确沙盒化,这可能会导致针对生产数据库运行恶意代码的情况。

AI公司,最近也已启动Claude中的新文件创建和编辑功能警告说,由于该功能在 “internet访问受限的沙盒计算环境” 中运行,因此存在提示注入风险。

具体来说,坏演员有可能通过外部文件或网站 “不显眼地” 添加指令-即间接提示注入-欺骗聊天机器人下载和运行不受信任的代码或从通过模型上下文协议连接的知识源 (MCP)。

“这意味着克劳德可以被欺骗从其上下文 (例如,提示,项目,通过MCP的数据,谷歌集成) 向恶意第三方发送信息,” Anthropic说。“为了减轻这些风险,我们建议您在使用该功能时监视Claude,并在看到它意外使用或访问数据时将其停止。”

这还不是全部.上个月末,该公司还透露,使用浏览器的人工智能模型,如Claude for Chrome,可能会面临即时注入攻击。它已经实施了几项防御措施来应对威胁,并将23.6% 的攻击成功率降低到11.2%。

“恶意行为者也在不断开发新形式的提示注入攻击,” 它已添加。“通过揭示不安全行为的真实例子和新的攻击模式,这些模式在受控测试中不存在,我们将教会我们的模型识别攻击并解释相关行为。并确保安全分类器会拾取模型本身错过的任何东西。"

与此同时,这些工具也被发现容易受到传统安全漏洞的影响,扩大了潜在现实世界影响的攻击面。

  • 中的WebSocket身份验证绕过Claude代码IDE扩展(CVE-2025-52882,CVSS得分: 8.8),可能允许攻击者连接到受害者的未经身份验证的本地WebSocket服务器,只需引诱他们访问他们控制下的网站,启用远程命令执行
  • 中的SQL注入漏洞Postgres MCP服务器可能允许攻击者绕过只读限制并执行任意SQL语句
  • 中的路径遍历漏洞Microsoft NLWeb这可能允许远程攻击者使用巧尽心思构建的URL读取敏感文件,包括系统配置 (“/etc/passwd”) 和云凭据 (.env文件)
  • 中的一个不正确的授权漏洞可爱(CVE-2025-48757,CVSS得分: 9.3),可能允许未经身份验证的远程攻击者读取或写入生成站点的任意数据库表
  • 中的开放重定向、存储跨站点脚本 (XSS) 和敏感数据泄漏漏洞Base44这可能允许攻击者访问受害者的应用程序和开发工作区,获取API密钥,将恶意逻辑注入用户生成的应用程序,并泄露数据
  • 中的漏洞Ollama桌面由于不完整的跨源控制而引起的,这些控制可能允许攻击者进行开车攻击,访问恶意网站可以重新配置应用程序的设置以拦截聊天,甚至使用中毒模型更改响应

“随着人工智能驱动的发展加速,最紧迫的威胁往往不是外来的人工智能攻击,而是传统安全控制的失败,” Imperva说。“为了保护 'vibe coding' 平台不断增长的生态系统,安全必须被视为基础,而不是事后的想法。