Se ha revelado una cariño de seguridad en el cursor del editor de código de inteligencia sintético (IA) que podría activar la ejecución del código cuando se abre un repositorio de forma maliciosa utilizando el software.
El problema proviene del hecho de que una configuración de seguridad relación para usar está deshabilitada de forma predeterminada, abriendo la puerta para que los atacantes ejecutaran código injustificado en las computadoras de los usuarios con sus privilegios.
«Cursor se envía con el espacio de trabajo de Trust deshabilitado de forma predeterminada, por lo que VS Tareas de estilo de código configuradas con RunOptions. «Un desconfiado .vscode/Tasks.json convierte una ‘carpeta abierta’ casual en la ejecución de código silencioso en el contexto del becario».
Cursor es una escisión de IA de Código Visual Studio, que admite una característica indicación Workspace Trust para permitir a los desarrolladores navegar y editar el código de forma segura, independientemente de dónde caldo o quién la escribió.
Con esta opción deshabilitada, un atacante puede poner a disposición un plan en GitHub (o cualquier plataforma) e incluir una instrucción oculta de «autorrun» que instruya al IDE a ejecutar una tarea tan pronto como se abre una carpeta, lo que hace que se ejecute el código desconfiado cuando la víctima intente hornear el depósito de bocas en el depósito de cursores.
«Esto tiene el potencial de filtrar credenciales confidenciales, modificar archivos o servir como un vector para un compromiso más amplio del sistema, colocando a los usuarios de cursores con un peligro significativo de los ataques de la cautiverio de suministro», dijo el investigador de seguridad de Oasis Erez Schwartz.
Para contrarrestar esta amenaza, se aconseja a los usuarios que habiliten la confianza del extensión de trabajo en el cursor, abran repositorios no confiables en un editor de código diferente y los auditen antiguamente de abrirlos en la utensilio.
El progreso se produce a medida que las inyecciones rápidas y los jailbreaks han surgido como una amenaza sigilosa y sistémica que afecta a agentes de codificación y razonamiento con AI como Claude Code, Cline, K2 Think y Windsurf, lo que permite a los actores de amenaza integrar instrucciones maliciosas de guisa astuta para engañar a los sistemas en acciones de rendimiento o filtración de datos de los entornos de progreso de software.
El equipo de seguridad de la cautiverio de suministro de software, CheckMarx, en un crónica la semana pasada, reveló cómo las revisiones de seguridad automatizadas recién introducidas de Anthrope en el código Claude podrían exponer los proyectos de guisa inadvertida a los riesgos de seguridad, incluida la instrucción de que ignore el código relajado a través de inyecciones rápidas, lo que hace que los desarrolladores impulsen las revisiones de seguridad del código desconfiado o inseguro.
«En este caso, un comentario cuidadosamente escrito puede convencer a Claude de que incluso el código claramente peligroso es completamente seguro», dijo la compañía. «El resultado final: un desarrollador, ya sea desconfiado o simplemente tratando de cerrar Claude, puede engañar fácilmente a Claude para que piense que una vulnerabilidad es segura».
Otro problema es que el proceso de inspección de la IA además genera y ejecuta casos de prueba, lo que podría conducir a un ambiente en el que el código desconfiado se ejecuta contra las bases de datos de producción si el código Claude no se sencilla correctamente.
La compañía de IA, que además lanzó recientemente una nueva función de creación y estampado de archivos en Claude, advirtió que la característica conlleva riesgos de inyección rápidos oportuno a que se ejecuta en un «entorno informático de arena con entrada restringido a Internet».
Específicamente, es posible que un actor malo sea «discretamente» agregue instrucciones a través de archivos o sitios web externos, además conocidos como inyección indirecta de inmediato, que engañan al chatbot para que descargue y ejecute código no confiable o lean datos confidenciales de una fuente de conocimiento conectada a través del protocolo de contexto del maniquí (MCP).
«Esto significa que Claude puede ser engañado para cursar información de su contexto (por ejemplo, indicaciones, proyectos, datos a través de MCP, Google Integrations) a terceros maliciosos», dijo Anthrope. «Para mitigar estos riesgos, le recomendamos que monitoree a Claude mientras usa la función y la detiene si la ve usando o consentir a datos inesperadamente».
Eso no es todo. A fines del mes pasado, la compañía además reveló modelos de IA que usan el navegador como Claude for Chrome puede indisponer ataques de inyección inmediata, y que ha implementado varias defensas para encarar la amenaza y compendiar la tasa de éxito de ataque de 23.6% a 11.2%.
«Las nuevas formas de ataques de inyección inmediatos además están siendo desarrolladas constantemente por actores maliciosos», agregó. «Al descubrir ejemplos del mundo auténtico de comportamiento inseguro y nuevos patrones de ataque que no están presentes en las pruebas controladas, enseñaremos a nuestros modelos a inspeccionar los ataques y explicar los comportamientos relacionados, y aseguraremos que los clasificadores de seguridad elijan cualquier cosa que el maniquí mismo pierda».
Al mismo tiempo, estas herramientas además se han enemigo susceptibles a las vulnerabilidades de seguridad tradicionales, ampliando la superficie de ataque con un impacto potencial del mundo auténtico,
- Un bypass de autenticación de WebSocket en Claude Code IDE Extensions (CVE-2025-52882, puntaje CVSS: 8.8) que podría tener permitido que un atacante se conecte al servidor de WebSocket restringido no autorenticado de una víctima simplemente atrayendo a presentarse un sitio web bajo su control, permitiendo la ejecución de comandos remoto, permitiendo la ejecución de comandos remotos
- Una vulnerabilidad de inyección SQL en el servidor MCP Postgres que podría tener permitido a un atacante evitar la restricción de solo repaso y ejecutar declaraciones SQL arbitrarias
- Una vulnerabilidad transversal de ruta en Microsoft NLWEB que podría tener permitido a un atacante remoto analizar archivos confidenciales, incluidas las configuraciones del sistema («/etc/passwd») y las credenciales en la estrato (archivos .env), utilizando una URL especialmente diseñada
- Una vulnerabilidad de autorización incorrecta en encantador (CVE-2025-48757, puntaje CVSS: 9.3) que podría tener permitido a los atacantes remotos no autenticados analizar o escribir en tablas de cojín de datos arbitrarias de sitios generados
- Las vulnerabilidades de redirección abierta, el sitio cruzado almacenado (XSS) y las vulnerabilidades confidenciales de la fuga de datos en Base44 que podrían tener permitido a los atacantes consentir a las aplicaciones y el espacio de trabajo de progreso de la víctima, las claves de la API de cosecha, inyectar dialéctica maliciosa en aplicaciones generadas por el becario y exfiltrarse de datos de datos
- Una vulnerabilidad en el escritorio Ollama que surge como resultado de controles de origen cruzado incompletos que podrían tener permitido a un atacante organizar un ataque de manejo, donde presentarse un sitio web desconfiado puede reconfigurar las configuraciones de la aplicación para interceptar chats e incluso alterar respuestas utilizando modelos envenenados.
«A medida que acelera el progreso impulsado por la IA, las amenazas más apremiantes a menudo no son ataques de IA exóticos, sino fallas en los controles de seguridad clásicos», dijo Imperva. «Para proteger el creciente ecosistema de las plataformas de ‘codificación de ambientes’, la seguridad debe tratarse como una cojín, no como una ocurrencia tardía».
