Se ha revelado una debilidad de seguridad en el editor de código de inteligencia artificial (IA) Cursor Eso podría desencadenar la ejecución del código cuando se abre un repositorio de forma maliciosa utilizando el programa.
El problema proviene del hecho de que una configuración de seguridad lista para usar está deshabilitada de forma predeterminada, abriendo la puerta para que los atacantes ejecutaran código arbitrario en las computadoras de los usuarios con sus privilegios.
«El cursor se envía con el espacio de trabajo de Trust desactivados de forma predeterminada, por lo que las tareas de estilo de código vs configuradas con RunOptions.runon: 'Forolyopen' Auto-Ejecución en el momento en que un desarrollador navega por un proyecto», «Oasis Security dicho en un análisis. «Un malicioso .vscode/Tasks.json convierte una 'carpeta abierta' casual en la ejecución de código silencioso en el contexto del usuario».
Cursor es una bifurcación de IA de Visual Studio Code, que admite una característica llamada Trust del espacio de trabajo Para permitir que los desarrolladores naveguen y editaran de forma segura, independientemente de dónde vino o quién lo escribió.
Con esta opción deshabilitada, un atacante puede poner a disposición un proyecto en GitHub (o cualquier plataforma) e incluir una instrucción oculta de «autorrun» que instruya al IDE a ejecutar una tarea tan pronto como se abre una carpeta, lo que hace que se ejecute el código malicioso cuando la víctima intente hornear el depósito de bocas en el depósito de cursores.
«Esto tiene el potencial de filtrar credenciales confidenciales, modificar archivos o servir como un vector para un compromiso más amplio del sistema, colocando a los usuarios de cursores con un riesgo significativo de los ataques de la cadena de suministro», dijo el investigador de seguridad de Oasis Erez Schwartz.
Para contrarrestar esta amenaza, se aconseja a los usuarios que habiliten la confianza del lugar de trabajo en el cursor, abran repositorios no confiables en un editor de código diferente y los auditen antes de abrirlos en la herramienta.
El desarrollo viene como inyecciones rápidas y jailbreaks tener surgido Como una amenaza sigilosa y sistémica que afecta a los agentes de codificación y razonamiento con AI como el código Claude, Calmar, K2 piensay Windsurfpermitiendo que los actores de amenaza empotrar Instrucciones maliciosas en Formas furtivas Para engañar a los sistemas para realizar acciones maliciosas o filmar datos de entornos de desarrollo de software.
El equipo de seguridad de la cadena de suministro de software, CheckMarx, en un informe la semana pasada, reveló cómo la recientemente introducida de Anthrope Reseñas de seguridad automatizadas En Claude, el código podría exponer inadvertidamente los proyectos a los riesgos de seguridad, incluida la instrucción de que ignore el código vulnerable a través de inyecciones rápidas, lo que hace que los desarrolladores impulsen las revisiones de seguridad del código malicioso o inseguro.
«En este caso, un comentario cuidadosamente escrito puede convencer a Claude de que incluso el código claramente peligroso es completamente seguro», la compañía dicho. «El resultado final: un desarrollador, ya sea malicioso o simplemente tratando de cerrar Claude, puede engañar fácilmente a Claude para que piense que una vulnerabilidad es segura».
Otro problema es que el proceso de inspección de la IA también genera y ejecuta casos de prueba, lo que podría conducir a un escenario en el que el código malicioso se ejecuta contra las bases de datos de producción si el código Claude no se sencilla correctamente.
La compañía de IA, que también recientemente lanzado Una nueva función de creación y edición de archivos en Claude, advirtió que la característica conlleva riesgos de inyección rápidos debido a que se ejecuta en un «entorno informático de sandboxed con acceso limitado a Internet».
Específicamente, es posible que un actor malo sea «discretamente» agregue instrucciones a través de archivos o sitios web externos, también conocido como inyección indirecta de inmediato, que engañan al chatbot para que descargue y ejecute código no confiable o lean datos confidenciales de una fuente de conocimiento conectada a través del protocolo de contexto del modelo (MCP).
«Esto significa que Claude puede ser engañado para enviar información de su contexto (por ejemplo, indicaciones, proyectos, datos a través de MCP, Integraciones de Google) a terceros maliciosos», Anthrope dicho. «Para mitigar estos riesgos, le recomendamos que monitoree a Claude mientras usa la función y la detiene si la ve usando o acceder a datos inesperadamente».
Eso no es todo. A fines del mes pasado, la compañía también reveló modelos de IA que usan el navegador como Claude for Chrome puede enfrentar ataques de inyección inmediata, y que ha implementado varias defensas para abordar la amenaza y reducir la tasa de éxito de ataque de 23.6% a 11.2%.
«También se desarrollan constantemente nuevas formas de ataques de inyección inmediatos», «TI» agregado. «Al descubrir ejemplos del mundo real de comportamiento inseguro y nuevos patrones de ataque que no están presentes en las pruebas controladas, enseñaremos a nuestros modelos a reconocer los ataques y explicar los comportamientos relacionados, y aseguraremos que los clasificadores de seguridad elijan cualquier cosa que el modelo mismo pierda».
Al mismo tiempo, estas herramientas también se han encontrado susceptibles a las vulnerabilidades de seguridad tradicionales, ampliando la superficie de ataque con un impacto potencial del mundo real,
- Un bypass de autenticación de WebSocket en Claude Code IDE Extensions (CVE-2025-52882Puntaje CVSS: 8.8) que podría haber permitido a un atacante conectarse al servidor WebSocket local no autenticado de una víctima simplemente atrayendo a visitar un sitio web bajo su control, habilitando la ejecución de comandos remotos
- Una vulnerabilidad de inyección SQL en el Postgres MCP Server Eso podría haber permitido a un atacante evitar la restricción de solo lectura y ejecutar declaraciones SQL arbitrarias
- Una vulnerabilidad de transversal de ruta en Microsoft nweb Eso podría haber permitido a un atacante remoto leer archivos confidenciales, incluidas las configuraciones del sistema («/etc/passwd») y las credenciales de la nube (archivos .env), utilizando una URL especialmente elaborada
- Una vulnerabilidad de autorización incorrecta en Amable (CVE-2025-48757, puntaje CVSS: 9.3) que podría haber permitido a los atacantes remotos no autenticados leer o escribir en tablas de base de datos arbitrarias de sitios generados
- Abrir redirección, scripts de sitios cruzados almacenados (XSS) y vulnerabilidades de fuga de datos confidenciales en Base44 Eso podría haber permitido a los atacantes acceder a las aplicaciones y el espacio de trabajo de desarrollo de la víctima, las claves de la API de cosecha, inyectar lógica maliciosa en aplicaciones generadas por el usuario y exfiltrados datos
- Una vulnerabilidad en Escritorio ollama Surgiendo como resultado de controles de origen cruzado incompletos que podrían haber permitido a un atacante organizar un ataque de manejo, donde visitar un sitio web malicioso puede reconfigurar la configuración de la aplicación para interceptar chats e incluso alterar respuestas utilizando modelos envenenados.
«A medida que se acelera el desarrollo impulsado por la IA, las amenazas más apremiantes a menudo no son ataques de IA exóticos, sino fallas en los controles de seguridad clásicos», dijo Imperva. «Para proteger el creciente ecosistema de las plataformas de 'codificación de ambientes', la seguridad debe tratarse como una base, no como una ocurrencia tardía».
Fuente