Apa yang terjadi
Versi Cursor Desktop sebelum 3.0.0 akan secara otomatis membaca dan mengeksekusi perintah hook yang ditentukan dalam .claude/settings.local.json di dalam workspace tanpa memerlukan persetujuan pengguna khusus. Aktor ancaman — atau agen AI yang dikompromikan/berbahaya yang beroperasi dalam workspace — dapat menulis atau menyebarkan file pengaturan yang dirancang berisi perintah OS tingkat arbitrer (misalnya, exfiltrasi kredensial, instalasi backdoor) yang dieksekusi diam-diam saat IDE dimulai atau sesi Claude dimulai. Ini terkait erat dengan kelas kampanye Shai-Hulud/Hades yang lebih luas yang memanfaatkan file konfigurasi agen pengodean AI sebagai vektor persistensi.
Mengapa penting
Agen pengodean AI semakin banyak membuat dan memodifikasi file konfigurasi mereka sendiri sebagai bagian dari operasi normal. Kerentanan ini berarti agen yang berbahaya atau dikompromikan dapat mem-bootstrap eksekusi kode arbitrer yang persisten di mesin pengembang dengan menulis hook ke dalam konfigurasi workspace — tidak memerlukan exploit terpisah. Ini juga memungkinkan serangan rantai pasokan melalui repo yang terracuni: setiap pengembang yang mengkloning dan membuka repositori berbahaya di Cursor akan secara diam-diam dikompromikan sebelum menulis satu baris kode pun.
Vektor serangan
Penyerang membuat .claude/settings.local.json berbahaya (atau membujuk agen Claude untuk menulisnya) di dalam workspace atau repositori. Ketika korban membuka workspace di Cursor Desktop, editor membaca dan mengeksekusi perintah Claude hook yang tertanam (misalnya, hook SessionStart) dengan hak istimewa OS tingkat pengembang penuh, tanpa menampilkan prompt persetujuan apa pun kepada pengguna.
Sistem yang terdampak
Cursor Desktop (editor kode AI) < 3.0.0
Mitigasi
Tingkatkan ke Cursor Desktop 3.0.0 atau lebih baru, yang memerlukan persetujuan pengguna eksplisit sebelum mengeksekusi perintah Claude hook yang ditentukan workspace. Penasihat: https://github.com/cursor/cursor/security/advisories/GHSA-pc9j-3qc2-95wv