تُتيح خلل في محرر الأكواد الذكي لـ Cursor AI للمتسللين تشغيل الأكواد تلقائيًا

أكثر من مليون مطور يستخدمون Cursor كمحرر للشفرة البرمجية للذكاء الاصطناعي الخاص بهم، ولكن تم العثور على خلل أمني حرج في الأداة.

وفقاً لـ Oasis Security، يتيح الخلل الأمني في Cursor للمهاجمين تنفيذ رمز المستودع الخبيث تلقائياً عندما يفتح المطورون مشاريعهم، دون الحاجة إلى أي نقرات أو تأكيدات.

يعتمد Cursor على Visual Studio Code (VS Code)، لكنه يأتي مع ميزة أمان هامة، وهي ثقة المساحة العملية، معطلة بشكل افتراضي. بهذه الطريقة، يمكن للمهاجمين تضمين الملفات الخبيثة في مجلدات المشروع التي تنفذ تلقائياً في اللحظة التي يدخل فيها المستخدمون إلى المجلد.

يمكن للكود سرقة البيانات الأوراق المالية، ورموز API، وملفات التكوين، أو حتى الاتصال بخوادم تحت سيطرة القراصنة. لاحظت BleepingComputer أن أجهزة الكمبيوتر المحمولة للمطورين غالبًا ما تخزن مفاتيح السحابة والأذونات، مما يخلق نقطة دخول للمهاجمين لنشر هجماتهم في الأنظمة الشركات.

لم يتأثر VS Code بحد ذاته لأنه يمنع هذه التشغيلات التلقائية ما لم يمنح المستخدم الثقة صراحة. للإيضاح الخطر، شاركت Oasis مفهوم البرهان موضحة كيف يمكن لمهمة بسيطة إرسال اسم المطور إلى خادم خارجي.

مع ذلك، ليس لدى Cursor خطط لتغيير إعداداته الافتراضية. أوضحت الشركة أن “ثقة المساحة العاملة تعطل الذكاء الاصطناعي والميزات الأخرى التي يرغب مستخدمونا في استخدامها ضمن المنتج”. بدلاً من ذلك، تقول أنها ستحدث إرشادات الأمان لمساعدة المستخدمين على تمكين “ثقة المساحة العاملة” يدويًا إذا اختاروا ذلك.

للآن، تنصح شركة أواسيس للأمن المستخدمين بتفعيل خاصية الثقة في العمل داخل “Cursor” أثناء القيام بعمليات البحث عن المشروعات للمهام التلقائية، واختبار المستودعات المجهولة داخل الأجهزة الافتراضية.

“هذا قد يعرض المعلومات الحساسة للتسرب، أو تعديل الملفات، أو يعمل كوسيلة للقرصنة الأوسع نطاقًا للنظام”، حذرت أواسيس.