Security

Celah di Cursor AI Editor Biarkan Repo Jalankan Kode Berbahaya Secara Otomatis

September 11, 2025
1 minute read

Peneliti keamanan menemukan kelemahan serius pada Cursor, editor kode berbasis AI yang merupakan fork dari Visual Studio Code (VS Code). Celah ini memungkinkan repository berbahaya menjalankan kode otomatis di perangkat pengembang begitu folder proyek dibuka, tanpa perlu mengeksekusi perintah apa pun.

Risiko yang Ditimbulkan

Menurut laporan Oasis Security, penyerang dapat menyisipkan file .vscode/tasks.json berisi perintah berbahaya ke dalam repositori publik. Saat repositori tersebut dibuka melalui Cursor—even hanya untuk penelusuran—kode di dalamnya langsung dieksekusi.

Akibatnya, penyerang berpotensi:

  • Mencuri kredensial, token API, dan file konfigurasi sensitif
  • Mengubah atau merusak file lokal
  • Membuat koneksi ke server command-and-control (C2)
  • Memicu serangan rantai pasok (supply-chain attack)

VS Code tidak terdampak masalah ini, karena secara default fitur Workspace Trust mencegah eksekusi otomatis tanpa persetujuan pengguna.

Penyebab Masalah

Masalah bermula karena Cursor menonaktifkan Workspace Trust secara default demi menjaga fungsi integrasi AI. Hal ini berbeda dari VS Code yang memblokir eksekusi otomatis hingga pengguna memberi izin eksplisit.

Dalam uji coba, Oasis Security membuat proof-of-concept sederhana berupa tasks.json yang hanya mengirimkan nama pengguna saat folder proyek dibuka di Cursor—membuktikan kode arbitrary dapat dieksekusi tanpa interaksi tambahan.

Respons Cursor

Tim Cursor mengakui risiko tersebut namun memilih tetap mempertahankan perilaku autorun. Mereka beralasan, “Workspace Trust menonaktifkan fitur AI dan kemampuan lain yang dibutuhkan pengguna.”

Sebagai gantinya, mereka merekomendasikan:

  • Mengaktifkan manual Workspace Trust di pengaturan Cursor
  • Menggunakan editor teks sederhana saat membuka repositori mencurigakan
  • Menunggu pembaruan pedoman keamanan resmi yang segera mereka rilis

Rekomendasi dari Peneliti

Oasis Security menyarankan pengguna agar lebih berhati-hati dengan proyek dari sumber tidak dikenal. Langkah pencegahan meliputi:

  • Memverifikasi repositori sebelum dibuka
  • Menghindari ekspor global kredensial sensitif di profil shell
  • Menggunakan editor alternatif dengan kontrol keamanan lebih ketat

Dengan satu juta pengguna aktif yang menghasilkan lebih dari satu miliar baris kode per hari, kerentanan ini menimbulkan risiko besar bagi komunitas pengembang yang mengandalkan Cursor sebagai IDE utama mereka.

Sumber: Oasis Security

Tags
September 11, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button