Se ha revelado una pasión de seguridad en el cursor del editor de código de inteligencia fabricado (IA) que podría activar la ejecución del código cuando se abre un repositorio de forma maliciosa utilizando el software.
El problema proviene del hecho de que una configuración de seguridad cinta para usar está deshabilitada de forma predeterminada, abriendo la puerta para que los atacantes ejecutaran código despótico en las computadoras de los usuarios con sus privilegios.
“Cursor se envía con el espacio de trabajo de Trust deshabilitado de forma predeterminada, por lo que VS Tareas de estilo de código configuradas con RunOptions. “Un bellaco .vscode/Tasks.json convierte una ‘carpeta abierta’ casual en la ejecución de código silencioso en el contexto del sucesor”.
Cursor es una escisión de IA de Código Visual Studio, que admite una característica indicación Workspace Trust para permitir a los desarrolladores navegar y editar el código de forma segura, independientemente de dónde morapio o quién la escribió.
Con esta opción deshabilitada, un atacante puede poner a disposición un tesina en GitHub (o cualquier plataforma) e incluir una instrucción oculta de “autorrun” que instruya al IDE a ejecutar una tarea tan pronto como se abre una carpeta, lo que hace que se ejecute el código bellaco cuando la víctima intente hornear el depósito de bocas en el depósito de cursores.
“Esto tiene el potencial de filtrar credenciales confidenciales, modificar archivos o servir como un vector para un compromiso más amplio del sistema, colocando a los usuarios de cursores con un peligro significativo de los ataques de la sujeción de suministro”, dijo el investigador de seguridad de Oasis Erez Schwartz.
Para contrarrestar esta amenaza, se aconseja a los usuarios que habiliten la confianza del espacio de trabajo en el cursor, abran repositorios no confiables en un editor de código diferente y los auditen antiguamente de abrirlos en la útil.
El exposición se produce a medida que las inyecciones rápidas y los jailbreaks han surgido como una amenaza sigilosa y sistémica que afecta a agentes de codificación y razonamiento con AI como Claude Code, Cline, K2 Think y Windsurf, lo que permite a los actores de amenaza integrar instrucciones maliciosas de modo astuta para engañar a los sistemas en acciones de rendimiento o filtración de datos de los entornos de exposición de software.
El equipo de seguridad de la sujeción de suministro de software, CheckMarx, en un crónica la semana pasada, reveló cómo las revisiones de seguridad automatizadas recién introducidas de Anthrope en el código Claude podrían exponer los proyectos de modo inadvertida a los riesgos de seguridad, incluida la instrucción de que ignore el código relajado a través de inyecciones rápidas, lo que hace que los desarrolladores impulsen las revisiones de seguridad del código bellaco o inseguro.
“En este caso, un comentario cuidadosamente escrito puede convencer a Claude de que incluso el código claramente peligroso es completamente seguro”, dijo la compañía. “El resultado final: un desarrollador, ya sea bellaco o simplemente tratando de cerrar Claude, puede engañar fácilmente a Claude para que piense que una vulnerabilidad es segura”.
Otro problema es que el proceso de inspección de la IA incluso genera y ejecuta casos de prueba, lo que podría conducir a un atmósfera en el que el código bellaco se ejecuta contra las bases de datos de producción si el código Claude no se sencilla correctamente.
La compañía de IA, que incluso lanzó recientemente una nueva función de creación y estampado de archivos en Claude, advirtió que la característica conlleva riesgos de inyección rápidos conveniente a que se ejecuta en un “entorno informático de arena con golpe condicionado a Internet”.
Específicamente, es posible que un actor malo sea “discretamente” agregue instrucciones a través de archivos o sitios web externos, incluso conocidos como inyección indirecta de inmediato, que engañan al chatbot para que descargue y ejecute código no confiable o lean datos confidenciales de una fuente de conocimiento conectada a través del protocolo de contexto del maniquí (MCP).
“Esto significa que Claude puede ser engañado para dirigir información de su contexto (por ejemplo, indicaciones, proyectos, datos a través de MCP, Google Integrations) a terceros maliciosos”, dijo Anthrope. “Para mitigar estos riesgos, le recomendamos que monitoree a Claude mientras usa la función y la detiene si la ve usando o lograr a datos inesperadamente”.
Eso no es todo. A fines del mes pasado, la compañía incluso reveló modelos de IA que usan el navegador como Claude for Chrome puede malquistar ataques de inyección inmediata, y que ha implementado varias defensas para asaltar la amenaza y resumir la tasa de éxito de ataque de 23.6% a 11.2%.
“Las nuevas formas de ataques de inyección inmediatos incluso están siendo desarrolladas constantemente por actores maliciosos”, agregó. “Al descubrir ejemplos del mundo existente de comportamiento inseguro y nuevos patrones de ataque que no están presentes en las pruebas controladas, enseñaremos a nuestros modelos a examinar los ataques y explicar los comportamientos relacionados, y aseguraremos que los clasificadores de seguridad elijan cualquier cosa que el maniquí mismo pierda”.
Al mismo tiempo, estas herramientas incluso se han contrario susceptibles a las vulnerabilidades de seguridad tradicionales, ampliando la superficie de ataque con un impacto potencial del mundo existente,
- Un bypass de autenticación de WebSocket en Claude Code IDE Extensions (CVE-2025-52882, puntaje CVSS: 8.8) que podría favor permitido que un atacante se conecte al servidor de WebSocket lugar no autorenticado de una víctima simplemente atrayendo a examinar un sitio web bajo su control, permitiendo la ejecución de comandos remoto, permitiendo la ejecución de comandos remotos
- Una vulnerabilidad de inyección SQL en el servidor MCP Postgres que podría favor permitido a un atacante evitar la restricción de solo lección y ejecutar declaraciones SQL arbitrarias
- Una vulnerabilidad transversal de ruta en Microsoft NLWEB que podría favor permitido a un atacante remoto analizar archivos confidenciales, incluidas las configuraciones del sistema (“/etc/passwd”) y las credenciales en la montón (archivos .env), utilizando una URL especialmente diseñada
- Una vulnerabilidad de autorización incorrecta en delicioso (CVE-2025-48757, puntaje CVSS: 9.3) que podría favor permitido a los atacantes remotos no autenticados analizar o escribir en tablas de pulvínulo de datos arbitrarias de sitios generados
- Las vulnerabilidades de redirección abierta, el sitio cruzado almacenado (XSS) y las vulnerabilidades confidenciales de la fuga de datos en Base44 que podrían favor permitido a los atacantes lograr a las aplicaciones y el espacio de trabajo de exposición de la víctima, las claves de la API de cosecha, inyectar razonamiento maliciosa en aplicaciones generadas por el sucesor y exfiltrarse de datos de datos
- Una vulnerabilidad en el escritorio Ollama que surge como resultado de controles de origen cruzado incompletos que podrían favor permitido a un atacante organizar un ataque de manejo, donde examinar un sitio web bellaco puede reconfigurar las configuraciones de la aplicación para interceptar chats e incluso alterar respuestas utilizando modelos envenenados.
“A medida que se acelera el exposición impulsado por la IA, las amenazas más apremiantes a menudo no son ataques de IA exóticos, sino fallas en los controles de seguridad clásicos”, dijo Imperva. “Para proteger el creciente ecosistema de las plataformas de ‘codificación de ambientes’, la seguridad debe tratarse como una pulvínulo, no como una ocurrencia tardía”.
