详细内容或原文请订阅后点击阅览
此“关键”光标安全缺陷可能会使您的代码暴露于恶意软件 - 如何修复
默认情况下禁用的功能可能会使用户及其组织容易受到自动运行的命令的影响。
来源:ZDNet | 机器人新闻关注ZDNET:将我们添加为Google上的首选来源。
将我们添加为首选源ZDNET的钥匙外卖
- 一份报告发现,黑客可以利用光标中的自动运行功能。危险是“重要的”,但是有一个简单的修复程序。Cursor使用AI来协助代码编辑。
一份新报告发现了它所描述的“关键安全漏洞”,这是一个流行的AI驱动的代码编辑平台。
该报告由软件公司OASIS Security周三发布,发现光标内包含.vscode/Tasks的代码存储库。可以指示一旦开设存储库,可以指示JOSON配置自动运行某些功能。黑客可以通过嵌入代码中的恶意软件来利用该Autorun功能。
报告另外:我用20美元的AI工具在12小时内进行了24天的编码 - 但是有一个大陷阱
我用20美元的AI工具在12小时内进行了24天的编码 - 但是有一个大陷阱“这有可能泄漏敏感的凭据,修改文件或充当更广泛的系统妥协的向量,从而使光标用户处于供应链攻击中的巨大风险,” Oasis写道。
虽然光标和其他AI驱动的编码工具(例如Claude Code和Windsurf)在软件开发人员中变得很受欢迎,但该技术仍然充满了错误。 Reping是另一位AI编码助理,本周早些时候推出了最新代理商,最近删除了一家公司的整个数据库。
Claude Code 首次亮相其最新代理 删除了公司的整个数据库安全缺陷
根据OASIS的报告,问题源于光标的“工作场所信任”功能默认情况下禁用。
也:我要求AI修改关键任务代码,接下来发生的事情困扰着我
如何保持保护
{
“ security.workspace.trust.enabled”:true,