Yapay zeka destekli geliştirme aracı Cursor'daki yüksek önem derecesine sahip bir güvenlik açığı, yüklü uzantıların hassas kimlik bilgilerine erişmesine, herhangi bir kullanıcı etkileşimi olmadan API anahtarlarının ve oturum belirteçlerinin açığa çıkmasına olanak tanıyor.
LayerX tarafından yapılan araştırmaya göre sorun, Cursor'un sırları yerel olarak nasıl sakladığından ve bunların izinlere bakılmaksızın herhangi bir uzantı tarafından erişilebilir bırakılmasından kaynaklanıyor. LayerX, kusura 8,2 CVSS puanı atadı ve geliştiricinin ortamında tam kimlik bilgilerinin tehlikeye atılmasına olanak verebileceği konusunda uyardı.
İmlecin bildirimi kabul ettiği ancak güven sınırlarını tanımlamanın kullanıcının sorumluluğunda olduğunu belirttiği bildirildi. Sorun 28 Nisan 2026 itibarıyla çözümlenmemiştir.
Nasıl Önlem Alınmalı?
Zayıf Depolama Tasarımı Kimlik Bilgisine Erişimi Sağlar
LayerX'e göre kusurun temelinde Cursor'un API anahtarları ve oturum belirteçleri de dahil olmak üzere kimlik doğrulama verilerini depolamak için yerel bir SQLite veritabanı kullanması yatıyor. Bu veritabanı, genellikle hassas bilgileri korumak için kullanılan işletim sistemi anahtarlıkları gibi standart mekanizmalar tarafından korunmaz.
İmleç, uzantılar ve yerel depolama arasındaki erişim denetimlerini zorunlu kılmadığı için, herhangi bir uzantı doğrudan veritabanını sorgulayabilir. Bu, özel izinler istemeyen uzantılar için bile geçerli olup, tespit edilmesi güçtür.
Araştırmacılar, kötü amaçlı bir uzantının şunları alabileceğini gösterdi:
Teknik Analiz
Üçüncü taraf hizmetlere bağlı API anahtarları
Kimlik doğrulama için kullanılan oturum belirteçleri
Sistem Güvenliği
Önbelleğe alınmış yapılandırma verileri
Gelecekte Ne Bekleniyor?
Bu bilgiler bir kez çıkarıldıktan sonra, herhangi bir uyarı veya görünür aktivite tetiklenmeden harici olarak iletilebilir. İzin istemlerinin veya uyarılarının bulunmaması, pazarlardan veya depolardan uzantı yükleyen geliştiriciler için riski daha da artırır.
Detaylar ve Etkileri
Saldırı Zinciri ve Daha Geniş Etki
LayerX, saldırı dizisinin minimum çaba gerektirdiği konusunda uyardı. Saldırgan, kötü amaçlı bir uzantıyı tema veya üretkenlik eklentisi gibi zararsız bir araç gibi gizleyebilir. Kurulumdan sonra uzantı, İmleç içinde kod yürütme kazanır ve yerel kimlik bilgileri deposuna anında erişebilir.
Sonuç ve Değerlendirme
Buradan hassas veriler çıkarılır ve sessizce harici bir sunucuya aktarılır. Hiçbir ek kullanıcı işlemi gerekmez ve süreç çok az iz bırakır.
API güvenlik riskleri hakkında daha fazlasını okuyun: Kuruluşların %99'u API ile İlgili Güvenlik Sorunlarını Bildiriyor
Uzmanların Görüşleri
Sonuçlar İmleç'in ötesine uzanır. Çalınan API anahtarları OpenAI, Anthropic veya Google hizmetleri gibi üçüncü taraf platformlara erişmek için kullanılabilir. Bu, çeşitli aşağı yönlü riskler yaratır:
Önemli Gelişmeler
Mali kayba yol açan izinsiz API kullanımı
Bilgi istemlerinin, çıktıların ve meta verilerin açığa çıkması
Hizmetlerin daha sonraki saldırılar için potansiyel olarak kötüye kullanılması
Uzantılar ve hassas veriler arasında izolasyon olmaksızın, güvenlik açığı yüklü herhangi bir uzantıya etkili bir şekilde geliştiricinin ortamına geniş erişim izni verir. Bulgular, özellikle yapay zeka araçlarının daha yaygın olarak benimsenmesiyle birlikte, genişletilebilir geliştirme platformlarının güvence altına alınmasında devam eden zorlukların altını çiziyor.