Siga ZDNet: Adicione -nos como uma fonte preferida no Google.
As principais toca de Zdnet
- Um relatório descobriu que os hackers podem explorar um recurso de autorun no cursor.
- O perigo é “significativo”, mas há uma solução fácil.
- Cursor usa a IA para ajudar na edição de código.
Um novo relatório descobriu o que descreve como “uma vulnerabilidade crítica de segurança” no Cursor, a preferred plataforma de edição de código a IA.
O relatóriopublicado quarta -feira pela empresa de software program Oasis Safety, constatou que os repositórios de código do cursor que contêm a configuração .vscode/duties.json podem ser instruídos a executar automaticamente determinadas funções assim que os repositórios forem abertos. Os hackers podem explorar que o recurso de autorun through malware incorporado ao código.
Além disso: fiz 24 dias de codificação em 12 horas com uma ferramenta de AI de US $ 20 – mas há uma grande armadilha
“Isso tem o potencial de vazar credenciais sensíveis, modificar arquivos ou servir como um vetor para um compromisso mais amplo do sistema, colocando os usuários do cursor em risco significativo de ataques da cadeia de suprimentos”, escreveu Oasis.
Embora o cursor e outras ferramentas de codificação movidas a IA, como Claude Code e Windsurf, tenham se twister populares entre os desenvolvedores de software program, a tecnologia ainda está repleta de bugs. Replit, outro assistente de codificação de IA que estreou seu mais novo agente no início desta semana, excluiu recentemente o banco de dados de um usuário.
A falha de segurança
De acordo com o relatório do Oasis, o problema está enraizado no fato de que o recurso “Belief Belief” do cursor está desativado por padrão.
Basicamente, esse recurso deve ser uma etapa de verificação para os usuários do cursor, para que eles executem apenas o código que conhecem e confiem. Sem ele, a plataforma executará o código automaticamente em um repositório, deixando a janela aberta para que os maus atores escorreguem clandestinamente em malware que poderiam comprometer o sistema de um usuário – e a partir daí, potencialmente se espalhar por uma rede mais ampla.
Além disso: pedi à AI para modificar o código crítico da missão, e o que aconteceu a seguir me assombra
A execução do Código sem o recurso de confiança do native de trabalho pode abrir “um caminho direto para o acesso não autorizado com um raio de explosão em toda a organização”, disse Oasis.
Em um comunicado ao Oasis publicado no relatório, a Cursor disse que sua plataforma opera com a Belief Belief desativada por padrão, pois intervene em alguns dos principais recursos automatizados dos quais os usuários dependem rotineiramente.
“Recomendamos ativar a confiança do espaço de trabalho ou usar um editor de texto básico ao trabalhar com suspeitos de repositórios maliciosos”, afirmou a empresa.
Além disso: esse novo recurso de Claude ‘pode colocar seus dados em risco’, admits antrópicos
A Cursor também disse ao Oasis que em breve publicaria diretrizes de segurança atualizadas sobre o recurso de confiança do espaço de trabalho.
Como se manter protegido
A solução, então, é simplesmente ativar o recurso de confiança do native de trabalho no cursor. Para fazer isso, adicione o seguinte immediate de segurança às configurações e reinicie o programa:
{
“Safety.workspace.belief.enabled”: true,
“Safety.workspace.belief.startupprompt”: “sempre”
O ZDNET entrou em contato com o cursor para mais comentários.
