Lỗ hổng nghiêm trọng trong Cursor AI cho phép tấn công chiếm quyền máy tính của lập trình viên

Lỗ hổng nghiêm trọng trong Cursor AI cho phép tấn công chiếm quyền máy tính của lập trình viên

Một chuỗi lỗ hổng trong trình soạn thảo mã nguồn Cursor AI có thể cho phép kẻ tấn công chiếm quyền điều khiển máy tính của nhà phát triển thông qua các lệnh ẩn trong kho mã độc. Vấn đề này liên quan đến việc tiêm lệnh gián tiếp (prompt injection) và vượt qua cơ chế sandbox, dẫn đến việc truy cập shell từ xa mà không cần sự tương tác của người dùng.

Phát triển phần mềm

Chuỗi tấn công NomShub

Straiker, một công ty an ninh mạng, đã phát hiện ra chuỗi tấn công này và đặt tên là NomShub. Về cơ bản, nó khai thác lỗ hổng tiêm lệnh gián tiếp trong các tác nhân AI (coding agents) và một lỗi vượt qua hộp cát (sandbox bypass) để ghi mã độc lên máy của người dùng.

Đáng lo ngại là để thực hiện cuộc tấn công, kẻ tấn công không cần người dùng thực hiện bất kỳ hành động nào ngoài việc mở một kho chứa (repository) độc hại trong Cursor. Do tính năng bị khai thác là một tệp nhị phân hợp lệ được ký và công chứng, kẻ tấn công có thể lợi dụng Cursor để có quyền truy cập đầy đủ vào hệ thống tệp và khả năng thực thi lệnh trên hệ thống macOS, nơi trình chỉnh sửa mã này chạy mà không bị hạn chế bởi sandbox.

Straiker cho biết việc phát hiện cuộc tấn công ở cấp độ mạng là gần như không thể, bởi vì toàn bộ lưu lượng truy cập đều đi qua cơ sở hạ tầng của Microsoft Azure.

Cơ chế vượt qua Sandbox trên macOS

Vấn đề bảo mật nằm ở chỗ các biện pháp bảo vệ của Cursor chống lại các lệnh shell do tác nhân thực thi không bao gồm các lệnh được thực thi trong chính shell đó (shell builtins). Điều này khiến trình phân tích cú pháp bị "mù" trước các thay đổi thư mục làm việc, biến môi trường bị thao túng và ngữ cảnh thực thi shell bị thay đổi.

Vì sandbox "seatbelt" của macOS cho phép ghi vào thư mục home, các lệnh tích hợp sẵn có thể được sử dụng để thoát khỏi sandbox và ghi đè tệp .zshenv. Tệp này được thực thi bởi mọi phiên bản shell Zsh mới, bao gồm cả cửa sổ Terminal, shell do ứng dụng tạo ra, việc gọi tập lệnh và thiết bị đầu cuối của chính Cursor.

Bảo mật

Quy trình tấn công và truy cập từ xa

Kẻ tấn công có thể tiêm các lệnh (prompt) vào tệp README.md của một kho chứa và lừa người dùng mở kho đó trong Cursor. Khi AI đọc tệp README, nó sẽ làm theo các hướng dẫn đã bị tiêm, thực hiện việc thoát sandbox và chạy tập lệnh khai thác đường hầm (tunnel).

Để lạm dụng tính năng đường hầm tích hợp sẵn của Cursor và có quyền truy cập từ xa vào hệ thống của nạn nhân, kẻ tấn công cũng hướng dẫn tác nhân tạo mã thiết bị và gửi nó đến máy chủ của kẻ tấn công. Mã này cần thiết để ủy quyền một phiên GitHub được xác thực thông qua đường hầm.

Straiker cảnh báo: "Tài khoản GitHub của kẻ tấn công hiện được ủy quyền để truy cập đường hầm của nạn nhân. Kết hợp với dữ liệu đăng ký đường hầm (ID đường hầm, cụm), kẻ tấn công có thể kết nối bất cứ lúc nào."

Miễn là quy trình vẫn đang chạy, ủy quyền GitHub không bị thu hồi và đăng ký đường hầm không bị xóa, kẻ tấn công sẽ có quyền truy cập liên tục vào máy tính.

Khắc phục và cập nhật

Straiker đã phát hiện ra chuỗi tấn công này vào tháng 1 và báo cáo cho Cursor vào đầu tháng 2. Một bản sửa lỗi đã được đưa vào trong phiên bản Cursor 3.0. Người dùng được khuyến cáo cập nhật ngay lên phiên bản mới nhất để bảo vệ thiết bị của mình trước các rủi ro tiềm ẩn.

Logo SecurityWeek