Исследователь безопасности обнаружил критическую уязвимость в среде исполнения ИИ-редактора Cursor, позволяющую выйти за пределы песочницы. Атака демонстрирует, что текущие механизмы изоляции агентов, работающих с кодом, недостаточны для предотвращения несанкционированного доступа к файловой системе и системным ресурсам хоста, что ставит под угрозу безопасность сред разработки при использовании автономных инструментов.
Проблема заключается в том, что агент, имеющий доступ к терминалу и файловой системе для выполнения задач по написанию кода, может использовать штатные функции среды для обхода ограничений. В ходе эксперимента удалось выполнить произвольные команды вне изолированного контейнера, что доказывает возможность эскалации привилегий. Это ставит вопрос о необходимости внедрения более строгих уровней изоляции, таких как аппаратная виртуализация или специфические политики ядра, для ограничения прав доступа ИИ-агентов.
Разработчики инструментов, предоставляющих агентам возможность автономного выполнения кода, сталкиваются с дилеммой: сохранение гибкости и скорости работы против обеспечения полной безопасности системы. Текущий инцидент подтверждает, что доверие к «песочницам» на уровне приложений является недостаточным, когда агент обладает широкими полномочиями по взаимодействию с операционной системой.
Ключевые факты
- Уязвимость позволила выйти из песочницы Cursor и получить доступ к файловой системе хост-машины.
- Атака была реализована через эксплуатацию механизмов взаимодействия агента с терминалом и файловыми операциями.
- Исследование доказывает, что текущие методы изоляции на уровне приложений не обеспечивают защиту от вредоносных или ошибочных действий ИИ-агентов.
- Эксперты настаивают на необходимости использования изоляции на уровне ядра (kernel boundaries) для ограничения прав доступа автономных систем.
- Инцидент подчеркивает риски при использовании ИИ-инструментов, имеющих доступ к выполнению кода в среде разработки.