Ranjivost u Cursor AI omogućava pristup tokenima i API ključevima preko ekstenzija
Ranjivost u Cursor AI omogućava pristup API ključevima preko ekstenzija bez upozorenja i odobrenja korisnika.
Šta se desilo?
Otkrivena je ozbiljna ranjivost kontrole pristupa u Cursor-u - popularnom AI alatu za razvoj koda. Pronađena od strane LayerX-a, ova ranjivost omogućava bilo kojoj instaliranoj ekstenziji pristup API ključevima i session tokenima korisnika bez ikakve upozorenja ili potrebe za odobrenjem. Problema je u tome što Cursor sprema osetljive kredencijale u običnoj, nezaštićenoj SQLite bazi podataka umesto u sigurnim sistemskim skladištima kao što su Windows Credential Manager ili macOS Keychain.
Koga pogađa?
Ranjivost direktno ugrožava programere i razvijače koji koriste Cursor okruženje. Posebno su ugroženi korisnici koji instalirajuekstenzije iz tržišta - zlonameran dodatak može kasnije pristupiti kredencijalima. Pošto mnogi korisnici povezuju svoje OpenAI, Google ili Anthropic naloge kroz Cursor, kompromitovani ključevi mogu voditi do pristupa privatnim podacima, prethodnim razgovorima i osjetljivom kodu.
Kako se zaštititi?
- Instalujte samo ekstenzije od proveren izvora i poznatih razvojnih timova
- Redovno pregledajte listu instaliranih ekstenzija i uklonite one koje više ne koristite
- Izbjegavajte preuzimanje neverifikovanih alata iz marketplace-a
- Pratite napomene i preporuke Cursor tima za sigurnost
- Razmislite o ograničavanju ekstenzija dok se problem ne reši
Tehnički detalji
Ranjivost ima CVSS skor od 8.2 i klasifikovana je kao visokog stepena opasnosti. Kredencijali se čuvaju na lokaciji ~/Library/Application Support/Cursor/User/globalStorage/state.vscdb bez enkriptovanja. Napada ne zahteva nikakve posebne privilegije - svaka ekstenzija može direktno pristupiti SQLite bazi i pročitati kredencijale u čistom tekstu. Napad se može izvršiti bez vidljivih znakova za korisnika.
Preporuka Sajber Radara
Ovo je kritičan problem koji demantuje Cursor-ov stav da je izbor ekstenzija odgovornost korisnika - arhitektura aplikacije jednostavno ne pruža adekvatnu zaštitu. Očekujete li od Cursor tima hitnu primenu strukturne ispravljke sa izolacijom ekstenzija i enkriptovanjem kredencijala na sistemskom nivou.