Уязвимость в AI-редакторе кода Cursor, который является форком Visual Studio Code, позволяет злоумышленникам выполнять произвольный код на компьютере разработчика без его ведома. Атака реализуется, когда пользователь открывает специально созданный вредоносный репозиторий, например, на GitHub. Исследователь Эрез Шварц из компании Oasis Security выяснил, что причина кроется в отключенной по умолчанию настройке безопасности "Workspace Trust". Злоумышленник встраивает скрытую инструкцию
Последствия такой атаки могут быть критическими: от утечки конфиденциальных данных и учетных записей до несанкционированного изменения файлов на компьютере жертвы. Эта уязвимость создает прямой вектор для широкомасштабных атак на цепочки поставок программного обеспечения. Пользователям Cursor рекомендуется вручную активировать функцию "Workspace Trust" в настройках, открывать непроверенные репозитории в других, более безопасных редакторах и проводить аудит кода перед его запуском.
Проблема Cursor — это лишь один из примеров системных угроз, которые несут в себе современные AI-инструменты для разработки. Одним из самых коварных векторов атак стали «инъекции промптов» (prompt injection) и «джейлбрейки» (jailbreaks). Злоумышленники встраивают вредоносные инструкции в скрытые места, такие как комментарии к коду или внешние файлы, чтобы обмануть AI-агентов. В результате искусственный интеллект может быть принужден к выполнению вредоносных действий или утечке чувствительных данных из среды разработки. Среди уязвимых агентов упоминаются Claude Code, Cline, K2 Think и Windsurf.
Исследования компании Checkmarx показали, что автоматизированные системы проверки безопасности в Claude Code, разработанном компанией Anthropic, можно обойти с помощью инъекций промптов. Тщательно продуманный комментарий в коде способен убедить AI в том, что очевидно опасный код является безопасным, позволяя разработчику протолкнуть вредоносные изменения в проект. Кроме того, процесс инспекции кода самим AI, который генерирует и выполняет собственные тестовые сценарии, создает дополнительный риск: если эти тесты не изолированы должным образом, вредоносный код может быть выполнен в производственной среде, например, с доступом к базам данных.
Компания Anthropic сама предупреждает о рисках, связанных с функцией создания и редактирования файлов в своих моделях. Несмотря на то, что эта функция работает в «изолированной вычислительной среде с ограниченным доступом в интернет», она уязвима для «косвенных инъекций промптов», когда инструкции поступают из внешних файлов или с веб-сайтов. Атака может заставить чат-бота загрузить и выполнить недоверенный код, прочитать конфиденциальные данные из источника знаний, подключенного через протокол Model Context Protocol (MCP), или отправить данные из своего контекста, включая файлы проекта и интеграции с Google, третьим лицам. Anthropic советует пользователям отслеживать активность Claude и прерывать его работу при обнаружении неожиданного доступа к данным.
Браузерное расширение Claude for Chrome также подвержено атакам с использованием инъекций промптов. Anthropic активно борется с этой угрозой и сообщает о снижении успешности атак с 23,6% до 11,2%. Стратегия компании заключается в использовании примеров реальных атак для обучения моделей и классификаторов безопасности, чтобы они могли распознавать новые виды угроз.
Наряду с новыми AI-атаками, эти платформы страдают от классических, хорошо известных уязвимостей. В расширениях IDE для Claude Code была обнаружена уязвимость обхода аутентификации WebSocket (CVE-2025-52882) с рейтингом CVSS 8.8, позволяющая удаленно выполнять команды, если заманить жертву на вредоносный сайт. В сервере Postgres MCP была найдена SQL-инъекция, дающая возможность обходить ограничения «только для чтения» и выполнять произвольные SQL-запросы.
В продукте Microsoft NLWeb была выявлена уязвимость обхода каталога (path traversal), которая позволяла читать системные файлы, такие как
Сервис Base44 был уязвим для открытого перенаправления, хранимого межсайтового скриптинга (XSS) и утечки конфиденциальных данных. Эти недостатки позволяли злоумышленникам получать доступ к приложениям и рабочим пространствам жертв, похищать API-ключи, внедрять вредоносную логику и извлекать данные. В приложении Ollama Desktop из-за неполного контроля междоменных запросов была возможна "drive-by атака», когда посещение вредоносного сайта могло перенастроить приложение для перехвата чатов и изменения ответов с помощью отравленных моделей.
Компания Imperva приходит к выводу, что по мере ускорения разработки с помощью ИИ наиболее серьезные угрозы часто представляют не экзотические ИИ-атаки, а сбои в классических мерах безопасности. Для растущей экосистемы платформ "vibe coding" безопасность должна стать фундаментом, а не второстепенной задачей.
autorun в конфигурационный файл проекта .vscode/tasks.json, используя команду runOptions.runOn: 'folderOpen', которая автоматически запускает задачу в момент открытия папки. Изображение носит иллюстративный характер
Последствия такой атаки могут быть критическими: от утечки конфиденциальных данных и учетных записей до несанкционированного изменения файлов на компьютере жертвы. Эта уязвимость создает прямой вектор для широкомасштабных атак на цепочки поставок программного обеспечения. Пользователям Cursor рекомендуется вручную активировать функцию "Workspace Trust" в настройках, открывать непроверенные репозитории в других, более безопасных редакторах и проводить аудит кода перед его запуском.
Проблема Cursor — это лишь один из примеров системных угроз, которые несут в себе современные AI-инструменты для разработки. Одним из самых коварных векторов атак стали «инъекции промптов» (prompt injection) и «джейлбрейки» (jailbreaks). Злоумышленники встраивают вредоносные инструкции в скрытые места, такие как комментарии к коду или внешние файлы, чтобы обмануть AI-агентов. В результате искусственный интеллект может быть принужден к выполнению вредоносных действий или утечке чувствительных данных из среды разработки. Среди уязвимых агентов упоминаются Claude Code, Cline, K2 Think и Windsurf.
Исследования компании Checkmarx показали, что автоматизированные системы проверки безопасности в Claude Code, разработанном компанией Anthropic, можно обойти с помощью инъекций промптов. Тщательно продуманный комментарий в коде способен убедить AI в том, что очевидно опасный код является безопасным, позволяя разработчику протолкнуть вредоносные изменения в проект. Кроме того, процесс инспекции кода самим AI, который генерирует и выполняет собственные тестовые сценарии, создает дополнительный риск: если эти тесты не изолированы должным образом, вредоносный код может быть выполнен в производственной среде, например, с доступом к базам данных.
Компания Anthropic сама предупреждает о рисках, связанных с функцией создания и редактирования файлов в своих моделях. Несмотря на то, что эта функция работает в «изолированной вычислительной среде с ограниченным доступом в интернет», она уязвима для «косвенных инъекций промптов», когда инструкции поступают из внешних файлов или с веб-сайтов. Атака может заставить чат-бота загрузить и выполнить недоверенный код, прочитать конфиденциальные данные из источника знаний, подключенного через протокол Model Context Protocol (MCP), или отправить данные из своего контекста, включая файлы проекта и интеграции с Google, третьим лицам. Anthropic советует пользователям отслеживать активность Claude и прерывать его работу при обнаружении неожиданного доступа к данным.
Браузерное расширение Claude for Chrome также подвержено атакам с использованием инъекций промптов. Anthropic активно борется с этой угрозой и сообщает о снижении успешности атак с 23,6% до 11,2%. Стратегия компании заключается в использовании примеров реальных атак для обучения моделей и классификаторов безопасности, чтобы они могли распознавать новые виды угроз.
Наряду с новыми AI-атаками, эти платформы страдают от классических, хорошо известных уязвимостей. В расширениях IDE для Claude Code была обнаружена уязвимость обхода аутентификации WebSocket (CVE-2025-52882) с рейтингом CVSS 8.8, позволяющая удаленно выполнять команды, если заманить жертву на вредоносный сайт. В сервере Postgres MCP была найдена SQL-инъекция, дающая возможность обходить ограничения «только для чтения» и выполнять произвольные SQL-запросы.
В продукте Microsoft NLWeb была выявлена уязвимость обхода каталога (path traversal), которая позволяла читать системные файлы, такие как
/etc/passwd, и учетные данные облачных сервисов из файлов .env. Платформа Lovable содержала ошибку некорректной авторизации (CVE-2025-48757) с критическим рейтингом CVSS 9.3, которая позволяла удаленному неаутентифицированному злоумышленнику читать и записывать данные в произвольные таблицы базы данных. Сервис Base44 был уязвим для открытого перенаправления, хранимого межсайтового скриптинга (XSS) и утечки конфиденциальных данных. Эти недостатки позволяли злоумышленникам получать доступ к приложениям и рабочим пространствам жертв, похищать API-ключи, внедрять вредоносную логику и извлекать данные. В приложении Ollama Desktop из-за неполного контроля междоменных запросов была возможна "drive-by атака», когда посещение вредоносного сайта могло перенастроить приложение для перехвата чатов и изменения ответов с помощью отравленных моделей.
Компания Imperva приходит к выводу, что по мере ускорения разработки с помощью ИИ наиболее серьезные угрозы часто представляют не экзотические ИИ-атаки, а сбои в классических мерах безопасности. Для растущей экосистемы платформ "vibe coding" безопасность должна стать фундаментом, а не второстепенной задачей.
