Skip to content

Liivakasti eiramise haavatavused Cursor IDE-s: viipainjektsioon kui kaugkäivitusvektor

Lühidalt: Loogilised vead Cursori liivakasti isolatsioonis võimaldavad viipainjektsiooni ründajatel saavutada kaugkäivituse ilma kasutaja tegevuseta; parandused on saadaval alates aprillist.

Teadlased on avastanud kaks kriitilist turvaauku laialt levinud tehisintellektipõhises arenduskeskkonnas Cursor, mis võimaldavad viipainjektsiooni kaudu jõuda kaugkäivituseni. Haavatavused võimaldavad ründajatel mööda minna liivakasti isolatsioonist, mis peaks hoidma tehisintellekti agente ohtlikust süsteemile ligipääsust eemal.

Kaks haavatavust, CVE-2026-50548 ja CVE-2026-50549, võimaldavad ründajatel murda välja Cursori käsuridade käivitamise liivakastist. Cato Networksi turvauuringute meeskond, kes haavatavused avastas, rõhutab: „Ekspluateerimine ei eelda ründajalt varasemaid kasutajaõigusi ega konkreetset kasutaja tegevust.” Selle asemel käivitub rünnak siis, kui kasutaja teeb näiliselt kahjutu sisestuse, mis tahtmatult võtab vastu ründaja kontrollitud tasu ebausaldusväärsest allikast – näiteks MCP-serverist või veebiotsingu tulemustest.

Probleem peitub kahes isolatsioonikihi loogilises puuduses: Esiteks toetab tööriist `run_terminal_cmd` parameetrit `working_directory`, mille abil saab vaikimisi rada programmiliselt üle kirjutada. Viipainjektsiooni abil saaks ründaja panna suure keelemudeli seadma selle kataloogi projekti kataloogist väljapoole jäävale rajale – kirjutades sel moel üle näiteks `cursorsandbox` käivitusfaili või lisades pahavarakoodi shelli konfiguratsioonifailidesse või süsteemi automaatkäivituse kaustadesse. Teiseks õnnestus teadlastel näidata, et Cursori agenti saab panna looma sümbolseoseid (symlinke), mis viitavad projekti kataloogist väljapoole jäävatele failidele. Kanoonimislogika, mis peaks need seosed lahendama, sisaldab ohtlikku tagavaravarianti, mis õõnestab kontrolli.

Pärast hiljutist ülevõtmist SpaceX’i poolt 60 miljardi dollari eest aktsiate vastu on Cursorist saanud üks domineerivamaid tehisintellektipõhiseid arendustööriistu ettevõtete sektoris. Turvaaugud parandati juba Cursori versioonis 3.0, mis avaldati aprillis. Haavatavus toob esile põhimõttelise dilemma: suured keelemudelid on oma olemuselt vastuvõtlikud nende sisendisse põimitud pahatahtlikele juhistele – see on eriti kriitiline agentse tehisintellekti stsenaariumides, kus keelemudelid on ühendatud brauserite, rakendusliideste ning veebisisu, koodihoidlate, e-kirjade ja kasutajate dokumentidega.

Kaitse viipainjektsiooni eest nõuab tavaliselt mitmetasandilist lähenemist: mudelitasandi kaitsemeetmed, süsteemijuhised sisu käsitlemiseks passiivsete andmetena, järelevalvemudelid, märksõnafiltreerimine, konteksti segmenteerimine, detailne juurdepääsukontroll ja käsitsi kinnitamine. Sageli kasutatav lahendus on autonoomsete töövoogude käivitamine konteinerites või liivakastides – täpselt see, mida Cursor oli rakendanud. Asjaolu, et sellest isolatsioonist õnnestus mööda minna suhteliselt lihtsate vahenditega, näitab, kui olulised on agentsete tööriistade pidevad turvakontrollid.


Allikas: www.csoonline.com · Avaldatud 2. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.2 abil.

Share on: