Cursor AI editöründe kritik açık: Depolar açıldığında zararlı kod otomatik çalışabiliyor
Yazılım geliştirmede hızla yayılan yapay zekâ destekli Cursor editöründe tespit edilen güvenlik açığı, geliştiricilerin yalnızca bir projeyi açmalarıyla kötü amaçlı kodların çalışmasına yol açabiliyor. Varsayılan ayarda devre dışı bırakılan Workspace Trust özelliği nedeniyle kullanıcılar kimlik bilgisi hırsızlığı ve sistem ele geçirilmesi riskiyle karşı karşıya.
Bir milyonun üzerinde geliştirici tarafından kullanılan yapay zekâ destekli Cursor kod editöründe ciddi bir güvenlik riski ortaya çıktı. Oasis Security tarafından açıklanan bulgulara göre editör, Visual Studio Code’dan devraldığı Workspace Trust özelliğini devre dışı bırakıyor. Bu durum, depolarda yer alan “.vscode/tasks.json” dosyalarının otomatik çalıştırılmasına ve herhangi bir kullanıcı onayı olmadan zararlı kodların yürütülmesine neden oluyor.
Cursor, GPT-4 ve Claude gibi yapay zekâ araçlarıyla entegre çalışan bir geliştirme ortamı olarak öne çıkıyor. Ancak varsayılan konfigürasyonda bir proje klasörü açıldığında içindeki görevler otomatik çalıştırılıyor. Bu yöntem, saldırganlara kimlik bilgilerini, API anahtarlarını veya yapılandırma dosyalarını çalmak, sistem üzerinde kalıcı erişim sağlamak veya tedarik zinciri saldırıları başlatmak için fırsat sunuyor.
Oasis Security, açığın istismar edilmesi halinde saldırganların kullanıcı bağlamında kod çalıştırabileceğini ve bu yolla komuta-kontrol altyapısına bağlantı kurabileceğini belirtti. Araştırmacılar, zararsız bir “kanıt amaçlı” tasks.json dosyası yayımlayarak kullanıcı adı bilgisinin otomatik olarak sızdırılabildiğini gösterdi.
Cursor düzeltmeyecek
Oasis Security’nin uyarısı üzerine Cursor ekibi, Workspace Trust özelliğini varsayılan olarak kapalı bırakmaya devam edeceklerini açıkladı. Şirket, bu özelliğin etkinleştirilmesinin yapay zekâ entegrasyonlarını sınırladığını belirterek mevcut davranışı değiştirmeyeceklerini duyurdu.
Cursor, kullanıcıların güvenlik hassasiyetinin yüksek olduğu durumlarda basit metin editörleri kullanmalarını ya da VS Code’daki güvenlik ayarlarını etkinleştirmelerini öneriyor. Ayrıca yakında güvenlik kılavuzlarını güncelleyerek Workspace Trust’ın nasıl açılabileceğine dair talimat paylaşacaklarını ifade etti.
Oasis Security ise kullanıcıların bilinmeyen projeleri farklı bir editörde açmasını, depoları doğrulamadan çalıştırmamasını ve hassas kimlik bilgilerini küresel kabuk profillerinde dışa aktarmaktan kaçınmasını tavsiye ediyor.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğen
0
Beğenmiyorum
0
Aşk
0
Komik
0
Öfkeli
0
Üzgün
0
Vay
0
