OC
英语轻松读发新版了,欢迎下载、更新

光标AI代码编辑器缺陷可以通过恶意存储库执行无声代码

2025-09-12 04:49:00 英文原文

作者:The Hacker News

AI安全 /漏洞

在人工智能(AI)的权力代码编辑器中已经披露了安全弱点光标当使用该程序打开一个恶意制作的存储库时,这可能会触发代码执行。

该问题源于以下事实:默认情况下禁用了一个开箱即用的安全设置,这为攻击者打开了凭借其特权在用户计算机上运行任意代码的大门。

“默认情况下,使用工作空间信任的光标船,因此使用RunoPtions.Runon配置的VS代码风格的任务:'foldropen'自动执行开发人员浏览项目时,oasis Security''在分析中。“恶意.vscode/tasks.json将休闲的'打开文件夹'转变为用户上下文中的无声代码执行。”

光标是Visual Studio代码的AI驱动的叉子,该叉子支持一个称为称为的功能工作区信任为了允许开发人员安全浏览和编辑代码,无论其来自何处或谁写的代码。

通过禁用此选项,攻击者可以在GitHub(或任何平台)中提供一个项目,并包括一个隐藏的“ Autorun”指令,该指示在打开文件夹后立即执行任务,当受害者尝试在Cursor中浏览肉体捕获的重新库时导致恶意代码。

OASIS安全研究员Erez Schwartz说:“这有可能泄漏敏感的凭据,修改文件或作为更广泛的系统妥协的向量,使光标用户面临供应链攻击的巨大风险。”

为了应对这种威胁,建议用户对光标进行工作场所信任,在其他代码编辑器中打开不信任的存储库,并在在工具中打开它们之前对其进行审核。

Audit and Beyond

发展是及时注射和越狱出现了作为一个隐秘而系统的威胁,困扰着AI驱动的编码和克劳德代码等推理代理,克林,,,,K2想, 和帆冲浪,允许威胁行为者嵌入恶意说明偷偷摸摸的方式诱使系统执行恶意动作或从软件开发环境中泄漏数据。

软件供应链安全装备CheckMarx在上周的报告中揭示了人类新介绍的方式自动安全评论在克劳德(Claude)中,代码可能会无意间将项目暴露于安全风险中,包括指示其通过及时注射忽略脆弱的代码,从而导致开发人员推动恶意或不安全的代码过去的安全审查。

“在这种情况下,经过精心书面的评论可以说服克劳德,即使是明显危险的代码也是完全安全的,”该公司。“最终结果:开发人员是恶意还是只是试图关闭克劳德,很容易欺骗克劳德,以为脆弱性是安全的。”

另一个问题是,AI检查过程还会生成和执行测试用例,如果Claude代码未正确打磨,这可能会导致对生产数据库进行恶意代码的情况。

AI公司,最近也是发射克劳德(Claude)的新文件创建和编辑功能警告说,该功能在“互联网访问有限的沙盒计算环境中运行”,该功能会迅速注射风险。

具体而言,坏演员有可能“不显眼”通过外部文件或网站添加说明 - 又名间接提示注入 - 欺骗聊天机器人下载和运行不信任的代码或从通过模型上下文协议连接的知识源读取敏感数据(MCP)。

“这意味着可以将克劳德(Claude)诱使从其上下文(例如,提示,项目,通过MCP,Google集成数据)发送到恶意第三方的信息,”。“为了减轻这些风险,我们建议您在使用该功能的同时监视Claude,并在使用或意外访问数据时停止它。”

那不是全部。上个月下半年,该公司还透露了使用Clome Chrome(Chrome for Chrome)的AI模型的浏览器模型可能会迅速注射攻击,并且它已经实施了多种防御措施来应对威胁并将攻击成功率降低23.6%至11.2%。

“新形式的迅速注射攻击也被恶意演员不断发展,”它额外。“通过揭示不安全行为和受控测试中不存在的新攻击模式的现实示例,我们将教导我们的模型识别攻击并说明相关行为,并确保安全分类器将拾取模型本身所错过的任何东西。”

CIS Build Kits

同时,还发现这些工具容易受到传统安全漏洞的影响,从而扩大了潜在的现实影响 - 攻击表面 -

  • Websocket身份验证绕过克劳德代码IDE扩展((CVE-2025-52882,CVSS得分:8.8)可以允许攻击者仅通过引诱他们访问其控制下的网站,从而启用远程命令执行,从而允许攻击者连接到受害者的未经验证的本地Websocket服务器
  • SQL注入脆弱性Postgres MCP服务器这本可以允许攻击者绕过仅阅读限制并执行任意SQL语句
  • 路径遍历Microsoft NLWEB这可以允许远程攻击者使用专门精心设计的URL读取敏感文件,包括系统配置(“/etc/passWD”)和云凭据(.ENV文件)
  • 错误的授权漏洞可爱(CVE-2025-48757,CVSS得分:9.3)可以允许远程未经身份验证的攻击者读取或写入或写入生成网站的任意数据库表
  • 打开重定向,存储的跨站点脚本(XSS)和灵敏的数据泄漏漏洞base44这本来可以允许攻击者访问受害者的应用程序和开发工作区,收获API键,将恶意逻辑注入用户生成的应用程序以及渗透数据
  • 一个脆弱性Ollama桌面由于不完整的交叉原始控件而引起

Imperva说:“随着AI驱动的发展加速,最紧迫的威胁通常不是异国情调的AI攻击,而是经典安全控制中的失败。”“为了保护'Vibe编码'平台不断增长的生态系统,必须将安全性视为基础,而不是事后的想法。”

发现这篇文章很有趣?跟随我们Google新闻,,,,叽叽喳喳LinkedIn要阅读更多独家内容,我们发布的内容。

关于《光标AI代码编辑器缺陷可以通过恶意存储库执行无声代码》的评论

暂无评论

发表评论



摘要

AI驱动的代码编辑器中的安全漏洞可以在默认情况下禁用工作空间信托而打开存储库时允许恶意代码执行。此外,像Claude Code这样的AI编码代理会面对迅速注射威胁,可以将项目暴露于安全风险。这些包括说服AI系统绕过安全检查并执行有害行动。传统的安全漏洞,例如Websocket身份验证旁路,SQL注入,路径遍历,不正确的授权,开放重定向,XSS,敏感数据泄漏以及不完整的交叉原始控制也在AI-DERANDEN开发环境中构成了重大风险。

相关新闻

相关讨论