Cursor Kod Editöründeki Güvenlik Açığı
Son dönemde yazılım geliştiricileri, Cursor kod editöründe tespit edilen ciddi bir güvenlik açığı ile karşı karşıya kaldılar. Bu açık, geliştiricilerin kötü niyetli bir depo açıldığında otomatik olarak görevleri yürütme riskiyle karşılaşmasına neden olmaktadır. Kötü niyetli kişiler, bu açığı kullanarak kötü amaçlı yazılım yükleyebilir, geliştirici ortamlarını ele geçirebilir veya kimlik bilgilerini ve API token’larını çalabilirler. Tüm bunlar, geliştiricilerin herhangi bir komut yürütmesine gerek kalmadan gerçekleşebilir.
Cursor, AI destekli bir Entegre Geliştirme Ortamı (IDE) olarak, Visual Studio Code (VS Code) temelli bir yazılımdır ve geliştirme görevleri için popüler AI asistanları olan GPT-4 ve Claude ile derin entegrasyona sahiptir. Hızla büyüyen bu araç, şu anda bir milyondan fazla kullanıcı tarafından kullanılmakta ve günde bir milyardan fazla kod satırı üretilmektedir.
Problemin Kaynağı
Oasis Security araştırmacıları, sorunun kaynağının, Cursor’un VS Code’daki Workspace Trust özelliğini devre dışı bırakmasından kaynaklandığını belirttiler. Bu özellik, geliştiricilerin açık onayı olmadan otomatik görev yürütülmesini engeller. Cursor’un varsayılan yapılandırmasında, bir proje klasörü açıldığında, görevler hemen yürütülmektedir. Kötü niyetli bir kişi, kötü amaçlı bir .vscode/tasks.json dosyasını herkesle paylaşılan bir depoya ekleyerek bu durumu suistimal edebilir.
Oasis Security araştırmacıları, “Bir kullanıcı, Cursor’dan böyle bir depoyu açtığında, basit bir gözatma işlemi için bile, kendi ortamında rastgele kod çalıştırılabilir,” diyor. “Bu durum, hassas kimlik bilgilerini sızdırmak, dosyaları değiştirmek veya daha geniş bir sistemin ele geçirilmesi için bir yol olarak kullanılabilir.”
VS Code, bu açıktan etkilenmez çünkü varsayılan yapılandırmada dosyayı otomatik olarak çalıştırmaz. Oasis Security, bulgularını kanıtlamak için, Cursor’da proje klasörü açıldığında mevcut kullanıcı adını gönderen bir shell komutu yürüten bir tasks.json dosyasının kanıt-inceleme örneğini yayımladı.
Oasis Security’ye göre, bu açığı kötüye kullanan bir tehdit aktörü, mevcut kullanıcı bağlamında kod çalıştırabilir, hassas verileri (token’lar, API anahtarları, yapılandırma dosyaları) çalabilir, bir komut ve kontrol (C2) altyapısına bağlantılar kurabilir veya bir tedarik zinciri saldırısı için bir enfeksiyon vektörü oluşturabilir.
Cursor Düzeltmeyecek
Oasis Security, Cursor ekibini Workspace Trust özelliğinin varsayılan olarak devredışı bırakılması riski hakkında bilgilendirdiğinde, IDE geliştiricisi, kod editöründeki otomatik çalışma davranışını koruma niyetinde olduklarını açıkladı. Cursor, “Workspace Trust, kullanıcılarımızın ürün içinde kullanmak istediği AI ve diğer özellikleri devre dışı bırakıyor,” dedi.
Kullanıcılara, potansiyel olarak kötü niyetli dosyalarla çalışırken ya güvenlik özelliğini etkinleştirmelerini ya da basit bir metin editörü kullanmalarını öneriyorlar. Cursor ekibi ayrıca, Workspace Trust ile ilgili tutumlarını açıklamak ve kullanıcıların bu özelliği nasıl etkinleştireceği konusunda talimatlar eklemek için güvenlik rehberlerini yakında güncelleyerek kullanıcıları bilgilendireceklerini belirtti.
Oasis Security, kullanıcılara bilinmeyen projeleri açmak için farklı bir editör kullanmalarını, depoları açmadan önce doğrulamalarını ve hassas kimlik bilgilerini genel olarak shell profillerinde dışa aktarmaktan kaçınmalarını öneriyor. Araştırmacılar, Cursor’da Workspace Trust’ı etkinleştirmek için gerekli ayarları da sağlıyor.
Kod editörlerinin güvenliği, yazılım geliştirme süreçlerinin temel taşlarından biridir. Geliştiricilerin hatayı önlemek için doğru önlemleri alması ve güvenlik bilgilerini gözden geçirmesi gerekiyor. Cursor’daki açığın farkında olmak, geliştiricilerin güvenli bir geliştirme ortamı yaratmalarına yardımcı olabilir. Kusursuz bir kullanıcı deneyimini sağlamak adına güvenlik her zaman en öncelikli konu olmalıdır.
