Post #4634

Открыл папку Исследователи обнаружили в AI-редакторе Cursor уязвимость, позволяющую выполнять произвольный код сразу после открытия репозитория. Всему виной функция Workspace Trust, которую излюбленный вайбкодерами форк VS Code по умолчанию отключает. Злоумышленник может подготовить файл .vscode/tasks.json с параметром runOptions.runOn: "folderOpen", который автоматически запустит вредоносную команду при открытии папки проекта. Никаких предупреждений или запросов разрешений пользователь не увидит. В отличие от VS Code, где Workspace Trust включён по умолчанию и блокирует подозрительные задачи до явного подтверждения пользователем, Cursor выполняет такие команды молча. Атакующий может украсть переменные окружения, токены доступа, API-ключи или выполнить любые команды от имени жертвы. Особенно опасно это для разработчиков, чьи машины имеют доступ к облачным сервисам и CI/CD системам. Один заражённый репозиторий способен скомпрометировать всю инфраструктуру компании. Cursor заявляет, что пользователи могут включить функцию самостоятельно, установив security.workspace.trust.enabled: true в настройках и обещает обновить рекомендации по безопасности в ближайшее время. Пока что лучший способ защиты — перестать вайбкодить 😱 НеКасперский