Cursor AI Kod Editöründeki Hata, Hackerların Kodu Otomatik Olarak Çalıştırmasına İzin Veriyor

Image by Sigmund, from Unsplash

Cursor AI Kod Editöründeki Hata, Hackerların Kodu Otomatik Olarak Çalıştırmasına İzin Veriyor

Okuma süresi: 2 dk.

Son Güncellenen Sep 12, 2025

Bir milyondan fazla geliştirici Cursor’u AI kod düzenleyicisi olarak kullanıyor ancak araçta kritik bir güvenlik açığı bulunduğu keşfedildi.

Acelemi var mı? İşte hızlı bilgiler:

  • Cursor AI editörü, kullanıcı onayı olmadan repolardan kötü niyetli kodları çalıştırır.
  • Cursor’da Workspace Trust varsayılan olarak devre dışıdır.
  • Cursor, uyarılara rağmen varsayılan ayarları değiştirmeyi reddeder.

Oasis Security‘ye göre, Cursor’daki güvenlik açığı, saldırganların geliştiriciler projelerini açtığında otomatik olarak kötü niyetli depo kodunu çalıştırmalarını sağlar, hiçbir tıklama veya onay gerekmez.

Cursor, Visual Studio Code (VS Code) temelli ancak varsayılan olarak önemli bir güvenlik özelliği olan Workspace Trust’ı devre dışı bırakarak gelir. Bu şekilde, saldırganlar proje klasörlerine otomatik olarak kullanıcıların klasöre eriştiği anda çalıştırılan kötü amaçlı dosyalar yerleştirebilirler.

Bu kod, kimlik bilgilerini, API tokenlerini ve yapılandırma dosyalarını çalabilir veya hatta hacker kontrolündeki sunuculara bağlanabilir. BleepingComputer geliştiricilerin dizüstü bilgisayarlarında genellikle bulut anahtarları ve izinler olduğunu, bu durumun saldırganlara şirket sistemlerine saldırmaları için bir giriş noktası oluşturduğunu belirtti.

VS Code kendisi, kullanıcı açıkça güven vermedikçe bu otomatik çalışmaları engellediği için etkilenmiyor. Tehlikeyi göstermek için Oasis, basit bir görevin bir geliştiricinin kullanıcı adını dış bir sunucuya nasıl gönderebileceğini gösteren bir konsept kanıtını paylaştı.

Cursor ise varsayılan ayarlarını değiştirme planı yok. Şirket, “Workspace Trust, kullanıcılarımızın ürün içinde kullanmak istediği AI ve diğer özellikleri devre dışı bırakıyor” diye açıkladı. Bunun yerine, şirketin güvenlik yönlendirmesini güncelleyerek kullanıcıların gerektiğinde Workspace Trust’ı manuel olarak etkinleştirmelerine yardımcı olacağını belirtiyor.

Şimdilik, Oasis Security, kullanıcıların autorun görevleri için proje aramaları yaparken ve bilinmeyen depoları sanal makineler içinde test ederken Cursor’da Workspace Trust’ı etkinleştirmelerini öneriyor.

“Bu, hassas kimlik bilgilerinin sızmasına, dosyaların değiştirilmesine veya daha geniş sistem ihlaline yönelik bir vektör olarak hizmet etme potansiyeline sahip,” diye uyardı Oasis.

Bu makaleyi beğendiniz mi?
Puan verin!
Hiç sevmedim Pek beğenmedim Fena değildi Gayet iyiydi! Bayıldım!

Çalışmamızı beğenmeniz bizi çok mutlu etti!

Değerli bir okuyucumuz olarak Trustpilot sitesinde bizi puanlamak ister miydiniz? Bu hemen halledilebilen bir işlemdir ve emin olun ki görüşünüz bizim için çok kıymetlidir. Desteğiniz için ne kadar teşekkür etsek az!

Trustpilot'ta bize puan ver
0 0 kullanıcı tarafından oy verildi
Başlık
Yorum
Geri bildiriminiz için teşekkür ederiz