تستعرض هذه المقالة ثغرة Cursor التي تسمح للمهاجمين بسرقة بيانات الاعتماد، مما يسلط الضوء على المخاطر المرتبطة باستخدام أدوات المطورين المدعومة بالذكاء الاصطناعي.
تسمح الثغرة الأمنية الموجودة في بيئة المطورين المدعومة بالذكاء الاصطناعي (AI) المعروفة باسم Cursor للمهاجمين بالتحكم في المتصفح الخاص بها لتنفيذ هجمات سرقة بيانات الاعتماد. تتيح هذه الثغرة حقن JavaScript لتجاوز الضوابط الخاصة بـ Cursor، مما يُظهر تهديدًا للنظام البيئي العام للمطورين المدعومين بالذكاء الاصطناعي.
اكتشف الباحثون في شركة Knostic للأمن السيبراني هذه الثغرة، التي تستغل فشل Cursor في إجراء فحوصات السلامة على الميزات الخاصة ببيئة التطوير، وفقًا لما ورد في منشور مدونة حديث. تقوم بيئات الترميز الأخرى، مثل Visual Studio (VS) Code، بإجراء هذه الفحوصات، وبالتالي تضيف طبقة أمان لا تمتلكها بيئة Cursor.
كتب الباحث في Knostic، دور مونس، في المنشور: “تجعل هذه الفجوة مكونات وقت تشغيل Cursor هدفًا أعلى خطرًا للتلاعب”. في الواقع، اكتشف الباحثون العديد من نقاط الضعف والثغرات في هذه الأدوات الناشئة المدعومة بالذكاء الاصطناعي التي تشكل تهديدات جديدة لسلسلة توريد تطوير البرمجيات.
أظهرت Knostic عدم أمان Cursor من خلال هجوم استبدل صفحات تسجيل الدخول داخل المتصفح الداخلي لـ Cursor بصفحة تجمع بيانات الاعتماد وترسل المستخدمين إلى مهاجم بعيد. كما أظهر الباحثون كيف يمكن للمهاجم أيضًا اختراق محطة عمل الضحية.
استخدام خادم MCP للاستغلال
استغلت Knostic خادم نموذج بروتوكول السياق (MCP) للاستفادة من الثغرة، مما منح المهاجم في هذا السيناريو وصولًا مميزًا إلى البيئة. تُعتبر MCPs برامج تستخدم واجهات بروتوكول قياسية لكشف قدرات معينة لتطبيقات الذكاء الاصطناعي.
كتب مونس: “نظرًا لأن خوادم MCP تتطلب أيضًا أذونات واسعة للعمل، فإن استغلالها يمكن أن يكون كارثيًا: يمكن أن تعدل المكونات نفسها، وترتقي بالامتيازات، وتكتسب قدرات جديدة دون رؤية المستخدم”.
لاستغلال الثغرة التي وجدوها في Cursor، أنشأ الباحثون أولاً نموذجًا أوليًا لخادم MCP خبيث، ثم نفذوا سكربت لتعديل الكود غير الموثق عند تسجيل خادم MCP. “سمح لنا ذلك بحقن كود عشوائي واختطاف المتصفح الداخلي”، كما أوضح مونس.
حقق الباحثون ذلك من خلال العثور على امتداد Cursor داخل دليل الامتدادات المحلي، والذي لم يتطلب أي إذن أو إعادة حساب لمدقق checksum في product.json، كما قال. ثم عيّنوا document.body.innerHTML = [HTML_PAYLOAD]، مما استبدل محتوى الصفحة بالكامل وتجاوز الفحوصات على مستوى واجهة المستخدم. “هذا ضمن أن المحتوى الذي يتحكم فيه المهاجم هو ما رآه المستخدم”، كتب مونس.
في المرحلة التالية من الهجوم، بحث الباحثون عن معرف علامة المتصفح واستبدلوه بحمولة نفذت أمرًا في Cursor لتشغيل JavaScript داخل المتصفح المدمج. من تلك النقطة فصاعدًا، نفذ كل علامة تبويب متصفح تفتحها Cursor الكود الخبيث، كما قال مونس.
لا يوجد عيب لإصلاحه، ولكن يمكن التخفيف من الهجوم
أبلغت Knostic Cursor بأنهم سينشرون البحث، لكن الشركة أكدت أنه لا يوجد عيب يمكن لمطوري Cursor إصلاحه؛ بدلاً من ذلك، يُظهر الهجوم عدم أمان البيئة بشكل أساسي. “هذه هي الوظيفة الأساسية لكيفية عمل [Cursor]، لكننا أبلغناهم وتأكدنا من أنهم يوافقون”، كما قال غادي إيفرون، الرئيس التنفيذي ومؤسس Knostic لـ Dark Reading.
النقطة هي أن Cursor نفسها وغيرها من أدوات المطورين المدعومة بالذكاء الاصطناعي غالبًا ما تُبنى بشكل ضعيف، مما يعرض النظام البيئي الأوسع للمطورين للتهديدات. في الواقع، حذر باحثون آخرون في الأمن أيضًا من أنه بينما تقدم التطوير المدعوم بالذكاء الاصطناعي راحة حديثة، فإنه يقدم أيضًا سطح هجوم جديد تمامًا.
كتب مونس: “إن المخاطر الجديدة المرتبطة بسلسلة التوريد المرتبطة بالعملاء كبيرة، ولدى المنظمات رؤية محدودة للغاية في استخدامها”. “يمكن أن تنفذ خوادم MCP، والامتدادات، وحتى المطالبات البسيطة كودًا في بيئة المستخدم، وبالتالي في الشبكة المؤسسية، دون علمهم”.
للتخفيف من هذه المخاطر الكامنة، يجب على المطورين الذين يستخدمون هذه الأدوات التحقق ثلاث مرات من كل خادم MCP وامتداد يضيفونه، بالإضافة إلى العثور على مستودع GitHub الخاص بالمشروع المحدد لمراجعة الكود.
حذر مونس: “هذا برنامج تقوم بتثبيته على جهاز الكمبيوتر الخاص بك ويمكنه فعل أي شيء”. “إذا كان هناك شك حول مصداقيته، فلا تستخدمه”.
كما أوصى مونس بأن “لا يقوم المطورون بتمكين أي شيء بشكل أعمى، خاصةً وظائف MCP”، وتجنب استخدام أوضاع التشغيل التلقائي. كقاعدة عامة عند استخدام وكلاء الذكاء الاصطناعي لتوليد الكود، يجب على المطورين مراجعة الكود قبل تنفيذ الإجراءات في المتصفح المدمج بدلاً من افتراض أن كل ما ينتجه وكيل الذكاء الاصطناعي هو كما هو متوقع، كما أضاف.
لتجنب المخاطر، يجب على المطورين مراجعة كل خادم MCP وامتداد يضيفونه، وكذلك التحقق من مصداقية الأدوات التي يستخدمونها.
