Post #4571

Навайбкодились… В Cursor выявили две критические уязвимости. Через IDE можно было заставитьвыполнять любой код и прописать автозапуск. Потенциально под ударом миллионы пользователей. Уязвимости CurXecute и MCPoison возникли из-за слепого доверия к MCP-серверам и игнорирования базовой безопасности со стороны разработчиков. Anysphere усилила проверки MCP, запретила самозапись, ввела двойное подтверждение смены сервера и allowlist. Фикс занял от 1 до 13 дней. Всего этого в утилите, соответственно, не было предусмотрено вот уже больше года. Сценарий взлома тривиален. Комбинация подмены и промпт‑инъекций превращала помощника в диверсанта. Это открывало путь к удаленному выполнению кода, краже токенов, доступу к исходникам и так далее. Теперь можно снова вайбкодить. Но только с включённым мозгом. НеКасперский