נחשפה חולשה חמורה בכלי פיתוח מבוסס AI

חוקרים של ענקית הגנת הסייבר הישראלית צ'ק פוינט חשפו היום (ג') חולשה חמורה ב-Cursor – אחד מכלי הפיתוח מבוססי הבינה המלאכותית הצומחים ביותר כיום.

בעוד שכלים כמו Cursor מבטיחים להאיץ את תהליכי הפיתוח, בעזרת אוטומציה מונחית מודלי שפה גדולים (LLMs), חוקרי צ'ק פוינט מצאו פגם חמור במודל האמון של הכלי, שמאפשר לתוקפים להריץ נוזקה באופן שקט ומתמשך. הרצת הנוזקה נעשית דרך תצורת MCP (ר"ת Model Context Protocol) – שאושרה בעבר על ידי המשתמש. מדובר בתצורות דמויות תוסף, שמאפשרות להגדיר ולבצע זרימות עבודה שכוללות ממשקי API מרוחקים, פקודות שנוצרו על ידי LLM או ביצוע פקודות מקומיות. כלי הפיתוח Cursor משלב יכולת לעריכת קוד מקומי עם LLMs.

בשל הגמישות ושילוב מודלי השפה הגדולים העמוק של Cursor, הוא מאומץ יותר ויותר על ידי סטארט-אפים, צוותי מחקר ומפתחים בודדים, שמעוניינים לשלב כלי AI ישירות בעבודת הפיתוח שלהם. לפי נתוני אופסרה, Cursor משרת יותר ממיליון משתמשים, מתוכם מעל 360 אלף הם לקוחות בתשלום, כך שהפוטנציאל להשפעה הוא נרחב במיוחד.

המערכת נועדה לאפשר למפתחים למכן תהליכי עבודה, אך ברגע שתוסף מאושר – ניתן לשנותו באופן שקט, כך שיבצע פקודות זדוניות, ללא כל אינטראקציה נוספת מצד המשתמש. כך, הסבירו חוקרי צ'ק פוינט, "קובץ MCP שנראה תמים יכול להתווסף למאגר שיתופי ולהפוך בהמשך לכלי תקיפה. לאחר שאושר על ידי אחד מחברי הצוות, הנוזקה תרוץ בכל פעם שהפרויקט נפתח – ובלא התראה".

"האוטומציה והאמון המובנים הופכים ליעדים לניצול"

לדברי עודד ואנונו, ראש מחקר חולשות בצ'ק פוינט העולמית ואחד משלושת כותבי המחקר, "הפגם הזה ממחיש את הסיכון ההולך וגובר בכלי פיתוח מבוססי AI: האוטומציה והאמון המובנים הופכים ליעדים לניצול. כך הם עלולים להעניק לתוקפים גישה ממושכת למכונות הפיתוח, פרטי ההתחברות של המשתמשים, ואף לקוד המקור עצמו".

בדו"ח צוין כי "ככל שכלי מפתחים המופעלים על ידי בינה מלאכותית משולבים בתהליכי עבודה יומיומיים, הם נסמכים יותר ויותר על אוטומציה, לצד יכולת להפעלה מקומית של המודלים. התמיכה של Cursor בקבצי תצורה המקושרים לסביבת העבודה והתנהגות תוספים מותאמים אישית יוצרת עבור ההאקרים משטח תקיפה ייחודי – במיוחד בסביבות מרובות משתמשים, שמשתפים קבצים ומסנכרנים ביניהם באמצעות מאגרי משותפים".

כך, הסבירו, "תחילה, הרעים מקבלים אישור ראשוני ל-MCP לא זדוני. או אז הם מחליפים את הפקודה ומחדירים נוזקה. באופן זה הם משיגים גישה למערכת של הקורבן: בכל פעם שמי מהמשתמשים פותח את פרויקט הפיתוח, ההאקרים מצליחים להחדיר נוזקה, עם קובץ מהימן, שאותו הם הפכו לדלת אחורית מתמשכת, שמופעלת אוטומטית".

החוקרים הוסיפו כי "לחולשה יש השלכות: פגיעות זו מאפשרת להחדיר נוזקה מרחוק, שתפעל באופן מתמשך, בצורה שקטה, ומרחוק – בכל סביבת פיתוח מבוססת Cursor. לאחר אישור MCP, התוקף יכול להזריק שוב ושוב פקודות זדוניות, ללא מודעות המשתמש, להרחיב גישה להרשאות ולהשיג גישה מרחוק מתמשכת, בשקט ובכל עת. הקובץ הופך לווקטור אידיאלי לפריסה חשאית של דלת אחורית, במיוחד בסביבות רגישות. ללא אימות מתאים, זרימות עבודה מבוססות אמון עלולות להפוך לתשתית הפעלה מרחוק של הרכים, במינימום מאמץ – ועם אפס אינטראקציה עם המשתמש".

חוקרי צ'ק פוינט שיתפו את המחקר שלהם עם צוות הפיתוח של Cursor ב-16 ביולי, וחבריו הוציאו לו תיקון השבוע.