研究人員揭露AI程式碼開發工具Cursor設計缺陷,可能導致開發者API金鑰外洩
設計缺陷與攻擊手法
資安研究機構LayerX近日發布報告,揭露廣獲使用的AI程式碼開發工具Cursor存在設計缺陷,攻擊者可透過擴充套件存取用戶的API金鑰與連線權杖(Session Token),問題源自未授權的擴充套件對本機金鑰的存取權限。
問題發現與通報時程
該問題早在2月即被發現並通報,然而直到4月底仍未見修補,顯示開發團隊對安全漏洞的回應速度緩慢,對用戶資安構成重大風險。
風險警示與建議
用戶在安裝第三方擴充套件時,應提高警覺,並審慎驗證擴充套件的來源與權限設定,以避免API金鑰與會話憑證被未授權存取。
相關技術名稱
- CursorJacking:一種透過擴充套件未授權存取用戶金鑰與權杖的攻擊手法。
- API金鑰外洩:開發者帳號的敏感資訊可能被竊取,導致服務被非法使用。
- Session Token:用於維持用戶登入狀態的權杖,若遭竊取可能導致會話被劫持。