Исследователь безопасности обнаружил критическую уязвимость в среде исполнения ИИ-редактора Cursor, позволяющую выйти за пределы песочницы. Атака демонстрирует, что текущие механизмы изоляции агентов, работающих с кодом, недостаточны для предотвращения несанкционированного доступа к файловой системе и системным ресурсам хоста, что ставит под угрозу безопасность сред разработки при использовании автономных инструментов.

Проблема заключается в том, что агент, имеющий доступ к терминалу и файловой системе для выполнения задач по написанию кода, может использовать штатные функции среды для обхода ограничений. В ходе эксперимента удалось выполнить произвольные команды вне изолированного контейнера, что доказывает возможность эскалации привилегий. Это ставит вопрос о необходимости внедрения более строгих уровней изоляции, таких как аппаратная виртуализация или специфические политики ядра, для ограничения прав доступа ИИ-агентов.

Разработчики инструментов, предоставляющих агентам возможность автономного выполнения кода, сталкиваются с дилеммой: сохранение гибкости и скорости работы против обеспечения полной безопасности системы. Текущий инцидент подтверждает, что доверие к «песочницам» на уровне приложений является недостаточным, когда агент обладает широкими полномочиями по взаимодействию с операционной системой.

Ключевые факты

  • Уязвимость позволила выйти из песочницы Cursor и получить доступ к файловой системе хост-машины.
  • Атака была реализована через эксплуатацию механизмов взаимодействия агента с терминалом и файловыми операциями.
  • Исследование доказывает, что текущие методы изоляции на уровне приложений не обеспечивают защиту от вредоносных или ошибочных действий ИИ-агентов.
  • Эксперты настаивают на необходимости использования изоляции на уровне ядра (kernel boundaries) для ограничения прав доступа автономных систем.
  • Инцидент подчеркивает риски при использовании ИИ-инструментов, имеющих доступ к выполнению кода в среде разработки.