„Vibe Coding”, czyli programowanie z wykorzystaniem modeli językowych, zwiększyło produktywność deweloperów. Jednak ta wygoda wiąże się z nowymi problemami. Pokazuje to luka, która została odkryta w popularnym edytorze Cursor AI, co sprawia, że trywialna czynność może zagrozić bezpieczeństwu naszego komputera.
- Odkryto lukę w popularnym oprogramowaniu Cursor AI, która pozwala hakerom na uruchomienie złośliwego kodu na komputerze ofiary poprzez samo otwarcie zainfekowanego folderu projektu.
- Atak jest nieintuicyjny, nie wymaga skomplikowanych interakcji oraz zagraża użytkownikom systemów Windows i macOS.
Rutynowe otwarcie folderu pułapką na deweloperów
Luka, którą znaleźli pracownicy firmy SlowMist, okazała się zaskakująco prosta.
Wystarczy, że użytkownik otworzy specjalnie spreparowany folder projektu za pomocą standardowej opcji „Otwórz Folder” w edytorze Cursor, aby na jego maszynie w tle uruchomiły się złośliwe polecenia systemowe (luka dotyczy zarówno systemów Windows, jak i macOS).
Problem jest tak duży przede wszystkim ze względu na podstępność ataku. Jest on wyzwalany przez rutynową czynność. Nie wymaga też od użytkownika żadnej dodatkowej interakcji – klikania w linki, które wzbudziłyby jego podejrzenia, czy bezpośredniego uruchamiania nieznanych plików.
Według specjalistów ze SlowMist ten nieintuicyjny problem wyrządził już szkodę kilku użytkownikom Cursora.
Takich przypadków może być więcej, ponieważ sam Cursor AI to nie niszowe oprogramowanie, lecz narzędzie, które w środowisku programistycznym zdobyło ogromną popularność.
Z aplikacji ma korzystać już ok. miliona osób, które każdego dnia generują za jego pomocą ponad miliard linijek kodu. Przy takiej skali potencjalny zasięg ataków może być ogromny.
Odkrycie SlowMist nie jest odosobnionym przypadkiem, a także może być częścią powtarzalnego wzorca.
We wrześniu eksperci innej firmy – Oasis Security – znaleźli w Cursorze podobną lukę, pozwalającą na wstrzyknięcie złośliwych poleceń, przejęcie zdalnej kontroli nad środowiskiem roboczym i kradzież tokenów API – bez żadnych działań po stronie użytkownika.
Serwis Forklog, który pisał o zdarzeniu, zacytował jednego z researcherów Web3 o nicku DeFi Teddy, który odniósł się do sprawy.
Jego zdaniem urządzenia wykorzystywane do vibe-codingu nie powinny być tymi samymi, na których przechowujemy, przykładowo, kryptowaluty.
By zminimalizować szanse ataku, nie powinniśmy także otwierać projektów z niezweryfikowanych źródeł czy pobierać i uruchamiać repozytoriów GitHuba, których bezpieczeństwa nie jesteśmy w stanie potwierdzić.
Śledź CrypS. w Google News. Czytaj najważniejsze wiadomości bezpośrednio w Google! Obserwuj ->
Zajrzyj na nasz telegram i dołącz do Crypto. Society. Dołącz ->
