Yapay zeka destekli kod editörü Cursor, Windows platformunda ciddi bir güvenlik açığıyla karşı karşıya. Güvenlik araştırma firması Mindgard tarafından keşfedilen açık, bir kullanıcının kötü amaçlı bir depoyu klonlaması ve Cursor'da açması durumunda, proje kök dizininde bulunan git.exe adlı bir dosyanın hiçbir uyarı veya onay olmaksızın çalıştırılmasına izin veriyor. Bu, saldırganların kullanıcının kimlik bilgilerine, SSH anahtarlarına ve bulut token'larına erişmesine olanak tanıyan bir kod yürütme senaryosu. Üstelik bu işlem, proje açık kaldığı sürece sürekli olarak tekrarlanıyor.
Mindgard'ın raporuna göre, açık, Cursor'un bir proje yüklendiğinde Git ikili dosyasını bulmak için birden fazla konumu kontrol etmesinden kaynaklanıyor. Bu konumlardan biri de çalışma alanının kendisi. Cursor, proje kökünde bir git.exe bulduğunda, onu herhangi bir güvenlik kontrolü yapmadan doğrudan çalıştırıyor. Bu davranış, Microsoft'un VS Code dokümantasyonunda açıklanan depo kökü sorgulama mekanizmasına benziyor. Ancak VS Code bu şekilde davranmazken, Cursor'un bu modeli VS Code'dan ayrıldıktan sonra eklediği belirtiliyor.
Açığın en endişe verici yönlerinden biri, saldırganın herhangi bir ön erişime ihtiyaç duymaması. Bir geliştiricinin, güvenilmeyen bir kaynaktan bir depoyu klonlaması ve Cursor'da açması yeterli. Bu, açık kaynak dünyasında sıkça yapılan bir işlem olduğu için saldırı yüzeyi oldukça geniş. Mindgard'ın kanıtı, proje köküne git.exe olarak yeniden adlandırılmış Windows Hesap Makinesi'ni kullanarak, klonlama ve açma işleminin ardından hesap makinelerinin kendiliğinden açıldığını gösteriyor. Bu, açığın ne kadar kolay istismar edilebileceğini gözler önüne seriyor.
Sonuç ve Değerlendirme
Mindgard, açığı 15 Aralık 2025'te Cursor'a bildirdi, ancak 7 ay sonra bile resmi bir yama yayınlanmadı. Cursor, bu süreçte araştırmacıyla iletişimi koparmış ve konuyu önemsiz olarak işaretlemiş. Oysa aynı dönemde, Cursor başka bir Git kancası güvenlik açığı için yama yayınlamıştı. Bu durum, Cursor'un güvenlik açığı yönetimindeki tutarsızlığını gösteriyor. Mindgard, sonunda 15 Temmuz 2026'da açığın tüm teknik detaylarını kamuoyuna duyurdu.
Cursor'un açığa yanıtı ise tartışmalı. Şirket, konuyu bir forum duyurusuyla ele aldı ve açığın, hata ödül programı kapsamı dışında olduğunu, çünkü 'çalışma alanı girdileri için paylaşılan sorumluluk modeli' çerçevesinde değerlendirilebileceğini savundu. Diğer bir deyişle, kullanıcıların hangi depoları açtıklarına dikkat etmeleri gerektiği belirtildi. Ancak şirket, araştırmacıyla zamanında iletişim kuramadığını kabul ederek bu süreçteki başarısızlığı itiraf etti.
Peki bu açığa karşı ne yapılabilir? Henüz bir yama olmadığı için alınabilecek önlemler sınırlı. Mindgard, yönetilen Windows sistemlerinde AppLocker veya Windows Uygulama Denetimi kurallarıyla, çalışma alanı kökleri altındaki belirli dosya adlarının çalıştırılmasını engellemeyi öneriyor. Ancak bu, hash tabanlı olmadığı için her saldırıda değişen ikili dosyalara karşı yeterli olmayabilir. Daha etkili bir çözüm, güvenilmeyen depoları sanal bir makinede veya Windows Sandbox'ta açmak. Ayrıca, klonlanan bir depoyu açmadan önce proje kökünde git.exe, npx.exe, node.exe gibi beklenmedik dosyalar olup olmadığını kontrol etmek de akıllıca olacaktır.
Bu güvenlik açığı, yapay zeka araçlarının güvenliğine dair önemli bir ders niteliği taşıyor. Cursor gibi araçlar, geliştiricilere büyük kolaylıklar sağlarken, beraberinde yeni güvenlik riskleri de getiriyor. Özellikle açık kaynak kodlu projelerde, güvenilmeyen kaynaklardan kod çalıştırmanın tehlikeleri bir kez daha ortaya çıkıyor. Kullanıcıların, bu tür araçları kullanırken dikkatli olmaları ve her zaman en güvenli pratikleri uygulamaları kritik önem taşıyor.
Kaynak: thehackernews.com