Usterka w Edytorze Kodu Cursor AI pozwala hakerom na automatyczne uruchamianie kodu

Image by Sigmund, from Unsplash

Usterka w Edytorze Kodu Cursor AI pozwala hakerom na automatyczne uruchamianie kodu

Przeczytasz w: 2 min

Ostatnia aktualizacja: Sep 12, 2025

Ponad milion programistów korzysta z Cursor jako z edytora kodu AI, ale narzędzie to okazało się zawierać krytyczny błąd bezpieczeństwa.

Spieszysz się? Oto najważniejsze fakty:

  • Edytor Cursor AI uruchamia szkodliwy kod z repozytoriów bez zgody użytkownika.
  • Zaufanie do przestrzeni roboczej jest domyślnie wyłączone w Cursor.
  • Cursor odmawia zmiany domyślnych ustawień pomimo ostrzeżeń.

Według Oasis Security, luka bezpieczeństwa w Cursor umożliwia atakującym automatyczne wykonanie złośliwego kodu repozytorium, gdy deweloperzy otwierają swoje projekty, bez potrzeby klikania czy potwierdzania.

Cursor opiera się na Visual Studio Code (VS Code), ale domyślnie dostarczany jest z wyłączoną ważną funkcją bezpieczeństwa, zaufaniem do przestrzeni roboczej (Workspace Trust). W ten sposób, atakujący mogą wbudować złośliwe pliki do folderów projektu, które wykonują się automatycznie w momencie, gdy użytkownicy otwierają folder.

Ten kod mógłby ukraść dane uwierzytelniające, tokeny API i pliki konfiguracyjne, a nawet łączyć się z serwerami kontrolowanymi przez hakera. BleepingComputer zauważył, że ponieważ laptopy programistów często przechowują klucze chmurowe i uprawnienia, tworzą one punkt wejścia dla atakujących, pozwalając rozprzestrzeniać ich ataki na systemy korporacyjne.

Samo VS Code nie jest dotknięte, ponieważ blokuje te automatyczne uruchomienia, chyba że użytkownik wyraźnie udzieli zaufania. Aby pokazać potencjalne niebezpieczeństwo, Oasis przedstawiło koncepcję dowodową, pokazującą, jak proste zadanie mogłoby wysłać nazwę użytkownika programisty do zewnętrznego serwera.

Cursor jednak nie ma planów zmiany swoich domyślnych ustawień. Firma wyjaśniła, że „Zaufanie do Przestrzeni Roboczej wyłącza AI i inne funkcje, których nasi użytkownicy chcą używać w produkcie”. Zamiast tego, firma zapowiedziała, że zaktualizuje wskazówki dotyczące bezpieczeństwa, aby pomóc użytkownikom ręcznie włączyć Zaufanie do Przestrzeni Roboczej, jeśli zdecydują się na to.

Na razie, Oasis Security zaleca użytkownikom aktywację Workspace Trust w Cursor podczas przeprowadzania wyszukiwań projektów dla zadań autorun i testowania nieznanych repozytoriów w maszynach wirtualnych.

„Istnieje potencjalne zagrożenie, że mogą wyciec wrażliwe dane uwierzytelniające, modyfikować pliki lub posłużyć jako wektor do szerszego naruszenia systemu,” ostrzega Oasis.

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię