В феврале 2026 года команда разработчиков Cursor официально опубликовала информацию об устранении уязвимости высокого уровня опасности. Она затрагивает среду программирования с искусственным интеллектом, которая активно набирает популярность среди разработчиков. Проблема позволяет злоумышленнику выполнить произвольный код на машине разработчика. Это вызывает новые вопросы о безопасности рабочих процессов с использованием ИИ.
Уязвимость CVE-2026-26268
Уязвимость зарегистрирована под идентификатором CVE-2026-26268. Её обнаружила исследовательская команда компании Novee. Специалисты действовали в рамках строгих этических норм и предупредили о недопустимости несанкционированного доступа к системам. Примечательно, что проблема не связана с классической ошибкой в исходном коде Cursor. Напротив, она возникает из-за того, как ИИ-агент взаимодействует со стандартными возможностями Git при работе с непроверенными репозиториями.
Атака строится на сочетании двух обычных функций Git. Первая - это Git hooks (скрипты, которые запускаются автоматически при определённых действиях, например при фиксации изменений или переключении веток). Вторая - bare-репозитории (репозитории, содержащие только служебные метаданные Git, без рабочей копии файлов). Злоумышленник может спрятать вредоносный bare-репозиторий внутри внешне безобидного проекта. В этом скрытом репозитории находится опасный pre-commit hook (ловушка, срабатывающая перед фиксацией изменений). Когда ИИ-агент Cursor выполняет рутинные операции Git, например checkout (переключение между ветками), ловушка активируется автоматически.
Для запуска атаки не требуется никаких действий со стороны пользователя. Нет ни предупреждений, ни запросов подтверждения. В итоге вредоносный код выполняется молча, под контролем атакующего, прямо во время обычной работы разработчика. Сама по себе такая техника не нова для Git. Однако уровень риска кардинально меняется из-за автономного поведения ИИ-агента Cursor.
В традиционном рабочем процессе разработчик вручную вводит команды Git. Он может заметить подозрительное поведение, аномальные сообщения или неожиданные результаты. ИИ-агент Cursor действует иначе: он интерпретирует высокоуровневые инструкции пользователя и самостоятельно решает, какие операции Git выполнить. Это убирает необходимость прямого участия человека и снижает прозрачность происходящего.
Представьте простой сценарий. Разработчик просит агента: "Настрой и проверь репозиторий". Агент начинает выполнять команды, среди которых может оказаться вредоносная операция, заложенная в том самом скрытом репозитории. Для атаки не нужно фишинга или обмана - достаточно убедить разработчика клонировать репозиторий (скачать его на свою машину). Любой публичный репозиторий, обработанный агентом, становится потенциальной точкой входа.
Исследователи из Novee применили нестандартный подход. Вместо поиска одной уязвимости они проанализировали, как ИИ-агенты взаимодействуют с непроверенными входными данными на нескольких этапах. Они выяснили, что безопасные по отдельности функции могут объединяться в опасные сценарии в условиях противодействия. Этот метод отражает более широкий тренд в кибербезопасности: сложные схемы взаимодействия становятся не менее важными, чем отдельные уязвимости.
Последствия CVE-2026-26268 весьма серьёзны. Машины разработчиков часто содержат критически важные активы: ключи доступа к API, учётные данные, а также проприетарный код. Компрометация рабочей станции разработчика может привести к более крупным утечкам внутри организации.
Прежде всего, следует рассматривать среды разработки как цели высокой ценности. Необходимо ревизовать настройки ИИ-инструментов: как они обрабатывают непроверенные входные данные. Важно проверять конфигурации репозиториев, включая встроенные правила и ловушки. И наконец, поведение ИИ-агентов должно быть частью модели угроз (совокупности предположений о возможных атаках).
Данная уязвимость наглядно демонстрирует: по мере того как ИИ-агенты берут на себя всё больше ответственности в процессах разработки, представления о безопасности должны меняться. Простое действие - клонирование репозитория - теперь может напрямую привести к выполнению кода. Это делает упреждающее моделирование угроз и непрерывное тестирование не просто желательными, а обязательными мерами.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2026-26268
- https://novee.security/blog/cursor-ide-cve-2026-26268-git-hook-arbitrary-code-execution/
- https://github.com/cursor/cursor/security/advisories/GHSA-8pcm-8jpx-hv8r
