Shalitha Ranathunge/iStock/Getty Images Plus via Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
**Intisari ZDNET**
Sebuah laporan menemukan bahwa peretas dapat mengeksploitasi fitur autorun di Cursor.
Bahayanya “signifikan,” namun ada perbaikan mudahnya.
Cursor memanfaatkan AI untuk membantu dalam pengeditan kode.
Sebuah laporan baru mengungkap apa yang digambarkannya sebagai “kerentanan keamanan kritis” dalam Cursor, platform pengedit kode populer yang didukung AI.
Laporan yang diterbitkan Rabu oleh perusahaan keamanan Oasis Security ini menemukan bahwa repositori kode dalam Cursor yang berisi konfigurasi `.vscode/tasks.json` dapat diinstruksikan untuk secara otomatis menjalankan fungsi-fungsi tertentu segera setelah repositori dibuka. Peretas dapat mengeksploitasi fitur autorun tersebut melalui malware yang disisipkan ke dalam kode.
“Hal ini berpotensi membocorkan kredensial sensitif, memodifikasi file, atau menjadi vektor untuk kompromi sistem yang lebih luas, sehingga menempatkan pengguna Cursor pada risiko signifikan dari serangan rantai pasok,” tulis Oasis.
Meskipun Cursor dan alat coding berbasis AI lainnya seperti Claude Code dan Windsurf telah populer di kalangan pengembang perangkat lunak, teknologi ini masih dipenuhi bug. Replit, asisten coding AI lain yang meluncurkan agen terbarunya awal pekan ini, baru-baru ini menghapus seluruh basis data sebuah perusahaan.
Celah Keamanan
Menurut laporan Oasis, masalahnya berakar pada fakta bahwa fitur “Workplace Trust” Cursor dinonaktifkan secara *default*.
Pada dasarnya, fitur ini dimaksudkan sebagai langkah verifikasi bagi pengguna Cursor agar mereka hanya menjalankan kode yang mereka kenal dan percayai. Tanpanya, platform akan secara otomatis menjalankan kode yang ada dalam repositori, membuka celah bagi aktor jahat untuk menyelundupkan malware yang kemudian dapat membahayakan sistem pengguna — dan dari sana, berpotensi menyebar ke seluruh jaringan yang lebih luas.
Menjalankan kode tanpa fitur Workplace Trust dapat membuka “jalur langsung ke akses tidak sah dengan dampak ledakan yang mencakup seluruh organisasi,” kata Oasis.
Dalam pernyataan kepada Oasis yang diterbitkan dalam laporan, Cursor menyatakan bahwa platformnya beroperasi dengan Workplace Trust dinonaktifkan secara *default* karena mengganggu beberapa fitur otomatisasi inti yang biasa diandalkan pengguna.
“Kami merekomendasikan untuk mengaktifkan Workspace Trust atau menggunakan editor teks dasar saat bekerja dengan repositori yang diduga berbahaya,” kata perusahaan tersebut.
Juga: Fitur Claude baru itu ‘dapat membahayakan data Anda’, akui Anthropic
Cursor juga mengatakan kepada Oasis bahwa mereka akan segera menerbitkan panduan keamanan terbaru mengenai fitur Workspace Trust.
Cara Tetap Terlindungi
Solusinya, kemudian, adalah dengan cukup mengaktifkan fitur Workplace Trust di Cursor. Untuk melakukannya, tambahkan perintah keamanan berikut ke pengaturan, lalu restart program:
{
"security.workspace.trust.enabled": true,
"security.workspace.trust.startupPrompt": "always"
}
ZDNET telah menghubungi Cursor untuk mendapatkan komentar lebih lanjut.