İmleç Uzantısı Kusuru, Geliştirici API Anahtarlarını Ortaya Çıkarıyor Siber Güvenlik

İmleç Uzantısı Kusuru, Geliştirici API Anahtarlarını Ortaya Çıkarıyor

Yapay zeka destekli geliştirme aracı Cursor'daki yüksek önem derecesine sahip bir güvenlik açığı, yüklü uzantıların hassas kimlik bilgilerine erişmesi...

Yapay zeka destekli geliştirme aracı Cursor'daki yüksek önem derecesine sahip bir güvenlik açığı, yüklü uzantıların hassas kimlik bilgilerine erişmesine, herhangi bir kullanıcı etkileşimi olmadan API anahtarlarının ve oturum belirteçlerinin açığa çıkmasına olanak tanıyor.

LayerX tarafından yapılan araştırmaya göre sorun, Cursor'un sırları yerel olarak nasıl sakladığından ve bunların izinlere bakılmaksızın herhangi bir uzantı tarafından erişilebilir bırakılmasından kaynaklanıyor. LayerX, kusura 8,2 CVSS puanı atadı ve geliştiricinin ortamında tam kimlik bilgilerinin tehlikeye atılmasına olanak verebileceği konusunda uyardı.

İmlecin bildirimi kabul ettiği ancak güven sınırlarını tanımlamanın kullanıcının sorumluluğunda olduğunu belirttiği bildirildi. Sorun 28 Nisan 2026 itibarıyla çözümlenmemiştir.

Nasıl Önlem Alınmalı?

Zayıf Depolama Tasarımı Kimlik Bilgisine Erişimi Sağlar

LayerX'e göre kusurun temelinde Cursor'un API anahtarları ve oturum belirteçleri de dahil olmak üzere kimlik doğrulama verilerini depolamak için yerel bir SQLite veritabanı kullanması yatıyor. Bu veritabanı, genellikle hassas bilgileri korumak için kullanılan işletim sistemi anahtarlıkları gibi standart mekanizmalar tarafından korunmaz.

İmleç, uzantılar ve yerel depolama arasındaki erişim denetimlerini zorunlu kılmadığı için, herhangi bir uzantı doğrudan veritabanını sorgulayabilir. Bu, özel izinler istemeyen uzantılar için bile geçerli olup, tespit edilmesi güçtür.

Araştırmacılar, kötü amaçlı bir uzantının şunları alabileceğini gösterdi:

Teknik Analiz

Üçüncü taraf hizmetlere bağlı API anahtarları

Kimlik doğrulama için kullanılan oturum belirteçleri

Sistem Güvenliği

Önbelleğe alınmış yapılandırma verileri

Gelecekte Ne Bekleniyor?

Bu bilgiler bir kez çıkarıldıktan sonra, herhangi bir uyarı veya görünür aktivite tetiklenmeden harici olarak iletilebilir. İzin istemlerinin veya uyarılarının bulunmaması, pazarlardan veya depolardan uzantı yükleyen geliştiriciler için riski daha da artırır.

Detaylar ve Etkileri

Saldırı Zinciri ve Daha Geniş Etki

LayerX, saldırı dizisinin minimum çaba gerektirdiği konusunda uyardı. Saldırgan, kötü amaçlı bir uzantıyı tema veya üretkenlik eklentisi gibi zararsız bir araç gibi gizleyebilir. Kurulumdan sonra uzantı, İmleç içinde kod yürütme kazanır ve yerel kimlik bilgileri deposuna anında erişebilir.

Sonuç ve Değerlendirme

Buradan hassas veriler çıkarılır ve sessizce harici bir sunucuya aktarılır. Hiçbir ek kullanıcı işlemi gerekmez ve süreç çok az iz bırakır.

API güvenlik riskleri hakkında daha fazlasını okuyun: Kuruluşların %99'u API ile İlgili Güvenlik Sorunlarını Bildiriyor

Uzmanların Görüşleri

Sonuçlar İmleç'in ötesine uzanır. Çalınan API anahtarları OpenAI, Anthropic veya Google hizmetleri gibi üçüncü taraf platformlara erişmek için kullanılabilir. Bu, çeşitli aşağı yönlü riskler yaratır:

Önemli Gelişmeler

Mali kayba yol açan izinsiz API kullanımı

Bilgi istemlerinin, çıktıların ve meta verilerin açığa çıkması

Hizmetlerin daha sonraki saldırılar için potansiyel olarak kötüye kullanılması

Uzantılar ve hassas veriler arasında izolasyon olmaksızın, güvenlik açığı yüklü herhangi bir uzantıya etkili bir şekilde geliştiricinin ortamına geniş erişim izni verir. Bulgular, özellikle yapay zeka araçlarının daha yaygın olarak benimsenmesiyle birlikte, genişletilebilir geliştirme platformlarının güvence altına alınmasında devam eden zorlukların altını çiziyor.

Paylaş: