Исследователи Mindgard обнаружили критическую уязвимость в ИИ-редакторе Cursor, позволявшую злоумышленникам удаленно выполнять произвольный код через специально сформированные файлы проектов. Проблема была связана с тем, как редактор обрабатывает конфигурации и контекст при взаимодействии с LLM. Разработчики оперативно выпустили патч, однако инцидент подчеркивает новые векторы атак на инструменты разработки, интегрированные с генеративным ИИ.

Уязвимость эксплуатировала механизм, с помощью которого Cursor индексирует локальные файлы для предоставления контекста нейросети. Злоумышленник мог внедрить вредоносные инструкции в файлы конфигурации, которые при открытии проекта редактором приводили к выполнению команд в системе пользователя. Это ставит под угрозу безопасность разработчиков, использующих ИИ-ассистенты для анализа и написания кода в доверенных средах.

Данный случай демонстрирует, что современные IDE, полагающиеся на глубокую интеграцию с внешними моделями, расширяют поверхность атаки. В отличие от традиционных редакторов, Cursor активно анализирует содержимое репозиториев, что делает обработку метаданных и файлов проекта критически важным узлом безопасности. Эксперты отмечают необходимость внедрения строгой изоляции (песочниц) при индексации кода, чтобы предотвратить несанкционированное выполнение команд через ИИ-агентов.

Ключевые факты

  • Уязвимость позволяла выполнять произвольный код (RCE) на машине пользователя при открытии скомпрометированного проекта.
  • Вектор атаки использовал особенности обработки контекста и конфигурационных файлов при работе с LLM.
  • Исследователи Mindgard применили стратегию полного раскрытия информации (full disclosure) после того, как проблема была подтверждена.
  • Разработчики Cursor выпустили обновление, устраняющее возможность выполнения команд через манипуляцию файлами проекта.
  • Инцидент классифицирован как риск для цепочки поставок ПО, использующего ИИ-инструменты для автоматизации разработки.