Автор Habr-публикации провёл детальный аудит безопасности Cursor IDE — редактора кода на базе VSCode с встроенным ИИ-ассистентом от одноимённого стартапа. Исследование выявило несколько уязвимостей, получивших присвоение CVE-идентификаторов.
Первый вектор связан с моделью изоляции расширений. Cursor основан на VSCode и поддерживает его экосистему расширений. Исследователь обнаружил, что в ряде сценариев расширения могут получить доступ к контексту ИИ-ассистента — включая содержимое системного промпта и историю диалога с моделью. Это открывает возможность для утечки конфиденциальной информации, если пользователь установил вредоносное или скомпрометированное расширение.
Второй вектор — инъекция через ИИ-контекст при работе с недоверенным кодом. При открытии репозитория с специально подготовленными комментариями или строками в исходнике ИИ-ассистент мог быть введён в заблуждение относительно контекста задачи — классический пример prompt injection через данные. Это позволяло влиять на рекомендации ассистента скрытым образом.
Одна из уязвимостей связана с недостаточной изоляцией VSCode-расширений
Оба вектора потенциально применимы в сценариях supply chain атак, когда вредоносный код попадает в зависимости проекта, а разработчик открывает его в Cursor для изучения. Исследователь опубликовал proof-of-concept код и техническое описание обоих векторов.
Cursor выпустил патчи для обеих уязвимостей. Пользователям рекомендуется обновиться до актуальной версии и с осторожностью устанавливать расширения из неверифицированных источников. Публикация — хороший повод вспомнить, что ИИ-интеграция в IDE расширяет поверхность атаки: злоумышленник теперь может целиться не только в код, но и в ИИ-компонент среды разработки.
