Cursor атакует сам себя: найденная 0-day уязвимость позволяет выполнить произвольный код без единого клика

Cursor

Исследователи из Mindgard обнаружили уязвимость нулевого дня в AI-редакторе кода Cursor, которая позволяет автоматически выполнить произвольный код на Windows-системах без какого-либо взаимодействия с пользователем. Проблема заключается в механизме поиска Git-бинарных файлов: среда разработки самостоятельно находит и запускает вредоносный исполняемый файл git.exe, если тот находится в корневой папке открытого репозитория.

Детали уязвимости

Согласно опубликованному 14 июля 2026 года отчёту исследователя Аарона Портноя (Aaron Portnoy), атака не требует ни нажатия кнопок, ни подтверждения диалоговых окон, ни каких-либо других действий со стороны разработчика. Достаточно просто загрузить проект в Cursor.

Суть уязвимости сводится к процедуре обнаружения Git в рабочей области. Когда Cursor загружает проект, он перебирает несколько директорий в поисках исполняемого файла Git. Одна из проверяемых папок - корень самого репозитория. Если злоумышленник предварительно поместил туда файл с именем git.exe, содержащий произвольный код, среда исполнения запустит его с правами текущего пользователя.

Для демонстрации эксперты из Mindgard использовали безвредный тестовый сценарий: они переименовали стандартное приложение "Калькулятор" Windows в git.exe и поместили его в корень тестового репозитория. После открытия этого проекта в Cursor калькулятор запустился автоматически. Более того, как показали логи Process Monitor, исполняемый файл вызывался многократно, а не однократно при загрузке. Командная строка выглядела как "git rev-parse --show-toplevel" - это типичный запрос Cursor к Git.

Уязвимость была подтверждена на версии Cursor 3.2.16 для Windows по состоянию на 30 апреля 2026 года. В реальной атаке вместо калькулятора злоумышленник мог бы разместить вредоносное программное обеспечение, способное похитить исходный код, собрать учётные записи, закрепиться в системе или перемещаться внутри корпоративной инфраструктуры.

Особую опасность ситуации придаёт тот факт, что разработчики постоянно клонируют, скачивают и открывают репозитории от внешних контрибьюторов, из проектов с открытым исходным кодом, от поставщиков и через внутренние каналы обмена. Зловредный репозиторий может быть распространён через Git-хостинги, архивные файлы, примеры зависимостей или методы социальной инженерии. Поскольку исполняемый файл запускается без уведомления пользователя, стандартные средства контроля осведомлённости здесь практически бесполезны.

Mindgard сообщил об уязвимости в Cursor 15 декабря 2025 года и затем неоднократно обращался через контакт для отчётов по безопасности и через программу HackerOne. Первоначально отчёт был закрыт как информационный и вне рамок программы. После повторного рассмотрения и воспроизведения проблемы заявку передали разработчику. Однако, по словам исследователей, за семь месяцев и десятки новых версий продукта никаких содержательных действий по исправлению не последовало. Cursor не выпустил патч и не предоставил обратной связи.

До выхода официального исправления организациям на Windows необходимо рассматривать любые непроверенные рабочие области Cursor как потенциально опасные. В качестве временной защиты на управляемых системах можно использовать политики AppLocker или Windows App Control, чтобы заблокировать выполнение исполняемых файлов из каталогов репозиториев. Эксперты советуют применять правила, основанные на путях, а не на хэшах, поскольку злоумышленник легко меняет содержимое вредоносного файла. Индивидуальным пользователям рекомендуется открывать репозитории из непроверенных источников только в изолированной виртуальной машине, Windows Sandbox или другой временной среде.

Эта публикация поднимает более широкий вопрос о доверии к AI-инструментам разработки. Продукты, которые управляют исходным кодом, терминалами, учётными данными и доступом к репозиториям, не должны автоматически выполнять двоичные файлы, контролируемые рабочей областью, в ходе повседневного обнаружения окружения. Игнорирование столь очевидной уязвимости на протяжении месяцев ставит под сомнение зрелость процессов безопасности одного из самых дорогих стартапов в своей нише.

Ссылки

Комментарии: 0