- Descoperite recent, vulnerabilitățile DuneSlide în Cursor AI permit atacuri zero-click care ocolesc sandbox-ul și execută cod pe sistemul gazdă.
O echipă de cercetători în securitate a descoperit vulnerabilități critice în Cursor AI, un editor de cod popular asistat de inteligență artificială. Defectele, denumite DuneSlide, permit atacuri zero-click de injectare a prompt-urilor, care pot escapa din sandbox-ul aplicației și pot executa cod arbitrar pe sistemul de operare subiacent.
Ce sunt vulnerabilitățile DuneSlide
DuneSlide reprezintă un set de vulnerabilități care exploatează modul în care Cursor AI procesează prompt-urile generate de AI. Atacatorii pot injecta comenzi malițioase direct în fluxul de lucru al editorului, fără ca utilizatorul să facă vreun clic sau să interacționeze. Spre deosebire de atacurile clasice de injectare, acestea nu necesită acțiuni suplimentare din partea victimei, ceea ce le face deosebit de periculoase.
Cum funcționează atacul
Vulnerabilitatea exploatează lipsa unei izolări stricte între procesul AI și sistemul gazdă. Odată ce un prompt infectat este procesat, codul poate părăsi mediul sandbox-uit al aplicației și poate rula cu privilegii de sistem. Astfel, un atacator poate prelua controlul complet al mașinii, poate fura date sau poate instala malware, totul fără ca utilizatorul să observe ceva suspect.
Impact și implicații
Cursor AI este utilizat de dezvoltatori din întreaga lume pentru productivitate sporită. Aceste vulnerabilități pun în pericol nu doar datele personale, ci și infrastructura de dezvoltare software. Compania a fost notificată și lucrează la un patch, dar până atunci, riscul este maxim pentru oricine folosește editorul fără măsuri suplimentare de securitate.
Ce înseamnă pentru tine
- Actualizează imediat Cursor AI la cea mai recentă versiune, de îndată ce patch-ul este disponibil.
- Evită deschiderea proiectelor sau fișierelor din surse nesigure, care ar putea conține prompt-uri infectate.
- Monitorizează activitatea sistemului pentru semne de executare neautorizată, mai ales după utilizarea editorului.