Исследователи безопасности раскрыли уязвимость высокого уровня критичности, затрагивающую среду разработки Cursor IDE, которая позволяет выполнять произвольный код на машине разработчика посредством, казалось бы, рутинного взаимодействия с репозиторием.
Согласно данным, полученным платформой для пентестинга на базе ИИ Novee Security, как только разработчик клонировал вредоносный репозиторий и начал с ним работать, ИИ-агент IDE мог запустить встроенную логику Git, что приводило к выполнению кода, контролируемого злоумышленником.
«Первопричина заключается не в изъяне основной логики продукта Cursor, а скорее является следствием взаимодействия функций в Git, которое становится эксплуатируемым в тот момент, когда ИИ-агент начинает автономно выполнять операции Git внутри репозитория, который он не контролирует», — заявил Ассаф Левкович, исследователь уязвимостей из Novee, в сообщении в блоге, предоставленном CSO до его публикации во вторник.
Эту уязвимость можно было использовать для того, чтобы позволить ИИ-агенту (посредством prompt injection) записывать данные в неправильно защищенные конфигурации Git, что могло привести к RCE вне песочницы при следующем срабатывании. В настоящее время Cursor устранил эту проблему, и пока нет никаких признаков эксплуатации в реальных условиях.
Использование легитимной функции Git для выполнения кода
Эксплойт зависит от стандартных функций Git, включая Git hooks (хуки) и Bare-репозитории. Хуки — это скрипты, которые автоматически запускаются при таких событиях, как pre-commit или post-checkout, в то время как bare-репозитории содержат только метаданные системы контроля версий и могут быть вложены в другие репозитории.
По данным Novee, злоумышленник мог внедрить вредоносный bare-репозиторий внутрь, казалось бы, легитимного проекта и разместить в нем вредоносный pre-commit hook. Когда ИИ-агент Cursor выполнял рутинную операцию, например, git checkout, вызванную высокоуровневым запросом, он мог выполнить этот хук. Это привело бы к автоматическому выполнению кода удаленного злоумышленника на машине разработчика.
Левкович отметил, что лежащее в основе поведение Git, допускающее этот путь атаки, хорошо задокументировано, но отличие здесь в том, что Cursor автономно принимает решение о выполнении операций Git (запуске хуков), которые в конечном итоге приводят к выполнению кода.
Уязвимость отслеживается как CVE-2026-26268, ей присвоен критический рейтинг серьезности 9,9 из 10 по версии NVD, и она затрагивает версии Cursor до 2.5. «Побег из песочницы путем записи конфигурации .git был возможен в версиях до 2.5», — говорится в описании уязвимости на NVD. «Вредоносный агент (т. е. prompt injection) мог записать данные в неправильно защищенные настройки .git, включая git hooks, что может вызвать RCE вне песочницы при следующем их срабатывании».
Расширенная поверхность атаки с агентными IDE
Novee предупредила, что, хотя традиционные IDE пассивны и выполняют только то, что им явно указывает разработчик, ИИ-агент Cursor интерпретирует намерения и автономно решает, какие команды запускать, включая операции Git. И в этом заключается проблема.
«В традиционном пентестинге атаки на «клиентской стороне», нацеленные на машины разработчиков, всегда были известным вектором», — отметил Левкович. «Но они зависели от ошибки пользователя или ослабления бдительности, обычно требуя определенной степени преднамеренного действия со стороны жертвы: открытия вредоносного файла, запуска скрипта, нажатия на ссылку».
Безопасность долгое время опиралась на доверенные IDE и действия человека в качестве мер защиты, но ИИ-агенты устраняют оба этих ограничения, добавил он.
Поскольку путь атаки не требует фишинга или обмана пользователя с целью запуска скриптов, кроме клонирования bare-репозитория, а вредоносный код выполняется как часть обычного процесса разработки, его довольно трудно обнаружить.
Тем не менее, Cursor оспорил критический рейтинг уязвимости от NVD и вместо этого присвоил ей собственный высокий балл CVSS — 8,0 из 10. Уязвимость устранена в версии Cursor 2.5.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Varun Aggarwal
