Check Point otkriva kritičnu manu Cursor IDE-a: Tihu prijetnju razvoju temeljenom na umjetnoj inteligenciji

S globalnim tržištem alata za kodiranje potpomognuto umjetnom inteligencijom vrijednim otprilike 6.7 milijardi dolara u 2024. godini, a predviđa se da će premašiti 25.7 milijardi dolara do 2030. godine, povjerenje u alate koji pokreću moderni razvoj softvera nikada nije bilo važnije. U središtu ovog procvata je nova klasa generatora AI koda - poput Cursora - koji kombiniraju tradicionalna programska okruženja s umjetnom inteligencijom kako bi automatizirali i ubrzali tijekove rada kodiranja.

Cursor je, posebno, brzo stekao popularnost među programerima zbog svoje duboke integracije velikih jezičnih modela (LLM-ova), omogućujući korisnicima generiranje, otklanjanje pogrešaka i refaktoriranje koda pomoću upita prirodnog jezika. Djeluje kao sustav pokretan umjetnom inteligencijom. integrirano razvojno okruženje (IDE)—softverska aplikacija koja objedinjuje ključne alate potrebne programerima za pisanje, testiranje i upravljanje kodom, sve na jednom mjestu.

No kako sve više razvojnog procesa postaje vođeno umjetnom inteligencijom i automatizirano, ranjivosti u tim alatima predstavljaju sve ozbiljniji rizik.

Taj je rizik postao vrlo stvaran nedavnim otkrićem CVE‑2025-54136, kritična sigurnosna propusta koju je otkrio Istraživanje provjernih točakaOva ranjivost ne uključuje grešku u kodu koji je napisao korisnik - problem je u načinu na koji Cursor rukuje povjerenjem i automatizacijom. Omogućuje napadačima da tiho izvršavaju zlonamjerne naredbe na računalu žrtve, a sve to iskorištavanjem pouzdane značajke automatizacije koja nikada nije bila namijenjena da bude oružje.

Ono što se naizgled čini kao praktično AI pomoćnik kodiranja, u ovom slučaju, postao je stražnja vrata - ona koja se mogla aktivirati bez ikakvog upozorenja, svaki put kada bi programer otvorio svoj projekt.

Mana: Iskorištavanje povjerenja putem MCP-a

U središtu ove ranjivosti je Cursorov Model Context Protocol (MCP)—okvir koji omogućuje programerima definiranje automatiziranih tijekova rada, integraciju vanjskih API-ja i izvršavanje naredbi unutar IDE-a. MCP-ovi funkcioniraju poput dodataka i igraju središnju ulogu u pojednostavljenju načina na koji umjetna inteligencija pomaže u generiranju koda, otklanjanju pogrešaka i konfiguraciji projekta.

Sigurnosni problem proizlazi iz načina na koji Cursor upravlja povjerenjem. Kada se uvede MCP konfiguracija, korisnik se jednom pita da je odobri. Međutim, nakon ovog početnog odobrenja, Cursor nikada ne ponovno provjerava konfiguraciju - čak ni ako se sadržaj promijeni. To stvara opasan scenarij: naizgled benigni MCP može se tiho zamijeniti zlonamjernim kodom, a izmijenjena konfiguracija će se izvršiti bez pokretanja ikakvih novih upita ili upozorenja.

Napadač može:

1. Pohranite bezopasnu MCP datoteku u dijeljeni repozitorij.

2. Pričekajte da član tima to odobri u Cursoru.

3. Izmijenite MCP kako biste uključili zlonamjerne naredbe (npr. obrnute ljuske ili skripte za izvlačenje podataka).

4. Ostvarite automatski, tihi pristup svaki put kada se projekt ponovno otvori u Cursoru.

Nedostatak leži u povjerenju koje Cursor veže za Naziv MCP ključa, a ne sadržaju konfiguracije. Nakon što se smatra pouzdanim, ime može ostati nepromijenjeno dok temeljno ponašanje postaje opasno.

Utjecaj na stvarni svijet: Prikrivenost i upornost

Ova ranjivost nije samo teoretski rizik - ona predstavlja praktični vektor napada u modernim razvojnim okruženjima gdje se projekti dijele između timova putem sustava za kontrolu verzija poput Gita.

• Trajni udaljeni pristup: Nakon što napadač modificira MCP, njegov se kod automatski pokreće svaki put kada suradnik otvori projekt.

• Tiho izvršenje: Ne prikazuju se nikakvi upiti, upozorenja ili obavijesti, što ovu zlonamjernu prijevaru čini idealnom za dugotrajnu upotrebu.

• Eskalacija privilegija: Računala razvojnih programera često sadrže osjetljive podatke - ključeve za pristup oblaku, SSH vjerodajnice ili vlasnički kod - koji mogu biti kompromitirani.

• Krađa kodne baze i intelektualnog vlasništva: Budući da se napad događa u pozadini, on postaje tihi ulaz u internu imovinu i intelektualno vlasništvo.

• Slabost lanca opskrbe: To naglašava krhkost povjerenja u razvojne procese pokretane umjetnom inteligencijom, koji se često oslanjaju na automatizaciju i dijeljene konfiguracije bez odgovarajućih mehanizama validacije.

Strojno učenje susreće sigurnosne slijepe točke

Cursorova ranjivost pokazuje veći problem koji se pojavljuje na presjeku strojnog učenja i alata za razvojne programere: pretjerano povjerenje u automatizaciju. Kako sve više platformi za razvojne programere integrira značajke pokretane umjetnom inteligencijom - od automatskog dovršavanja do pametne konfiguracije - potencijalna površina za napad dramatično se širi.

Pojmovi poput daljinsko izvršavanje koda (RCE) i obrnuta ljuska više nisu rezervirani za alate za hakiranje stare škole. U ovom slučaju, RCE se postiže korištenjem odobrene automatizacije. Obrnuta ljuska - gdje se računalo žrtve povezuje s napadačem - može se pokrenuti jednostavnim mijenjanjem već pouzdane konfiguracije.

Ovo predstavlja slom u modelu povjerenja. Pretpostavljajući da odobrena datoteka za automatizaciju ostaje sigurna neograničeno, IDE učinkovito daje napadačima tihi, ponavljajući pristup razvojnim računalima.

Što čini ovaj vektor napada tako opasnim

Ono što CVE‑2025‑54136 čini posebno alarmantnim jest njegova kombinacija prikrivenosti, automatizacije i upornosti. U tipičnim modelima prijetnji, programeri su obučeni da paze na zlonamjerne ovisnosti, čudne skripte ili vanjske iskorištavanja. Ali ovdje je rizik prikriven unutar samog tijeka rada. Radi se o slučaju napadača koji iskorištava vjeruj a ne kvaliteta koda.

• Nevidljivi ponovni ulazak: Napad se izvršava svaki put kada se IDE otvori, bez vizualnih znakova ili zapisa osim ako se ne prati izvana.

• Niska prepreka za ulazak: Bilo koji suradnik s pristupom za pisanje u repozitorij može MCP pretvoriti u oružje.

• Skalabilnost iskorištavanja: U organizacijama s mnogo programera koji koriste zajedničke alate, jedan modificirani MCP može uvelike proširiti kompromitiranje.

Preporučene mjere ublažavanja

Istraživanje provjernih točaka je odgovorno otkrio ranjivost 16. srpnja 2025. Cursor je 30. srpnja 2025. izdao zakrpu kojom se rješava problem, ali šire implikacije ostaju.

Kako bi se zaštitili od sličnih prijetnji, organizacije i programeri trebali bi:

1. Tretirajte MCP-ove kao kod: Pregledajte i kontrolirajte verzije svih konfiguracija automatizacije. Tretirajte ih kao dio kodne baze, a ne kao benigne metapodatke.

2. Ponovo potvrdi pri promjeni: Alati bi trebali implementirati promptove ili provjeru temeljenu na hashu svaki put kada se promijeni prethodno pouzdana konfiguracija.

3. Ograniči pristup pisanju: Koristite kontrole pristupa repozitoriju kako biste ograničili tko može mijenjati datoteke automatizacije.

4. Tijekovi rada umjetne inteligencije za reviziju: Razumjeti i dokumentirati što svaka konfiguracija s omogućenom umjetnom inteligencijom radi, posebno u timskim okruženjima.

5. Praćenje aktivnosti IDE-a: Pratite i upozoravajte na automatizirana izvršavanja naredbi koje pokreću IDE-i kako biste uhvatili sumnjivo ponašanje.

Zaključak: Automatizacija bez nadzora je ranjivost

Zlonamjerni napad u Cursor IDE-u trebao bi poslužiti kao upozorenje cijeloj softverskoj industriji. Alati poboljšani umjetnom inteligencijom više nisu opcionalni - postaju neophodni. Ali s tim usvajanjem mora doći i promjena u načinu na koji razmišljamo o povjerenju, validaciji i automatizaciji.

CVE‑2025‑54136 otkriva rizike razvojnih okruženja vođenih praktičnošću koja ne provjeravaju kontinuirano ponašanje. Kako bi ostali sigurni u ovom novom dobu, programeri i organizacije moraju preispitati što zapravo znači „pouzdano“ – i osigurati da automatizacija ne postane tiha ranjivost skrivena na vidiku. Čitatelji koji žele tehničko razumijevanje ranjivosti, pročitajte izvješće Check Point Researcha.