무슨 일이 있었나
Cursor Desktop 3.0.0 이전 버전은 워크스페이스 내의 .claude/settings.local.json에 정의된 hook 명령을 자동으로 읽고 실행했으며, 전용 사용자 승인이 필요하지 않았습니다. 위협 행위자 또는 워크스페이스 내에서 작동하는 손상된/악성 AI 에이전트는 임의의 OS 수준 명령(예: 자격 증명 유출, 백도어 설치)이 포함된 조작된 설정 파일을 작성하거나 전달할 수 있으며, 이러한 명령은 IDE 시작 또는 Claude 세션 시작 시 조용히 실행됩니다. 이는 AI 코딩 에이전트 구성 파일을 지속성 벡터로 활용하는 광범위한 Shai-Hulud/Hades 캠페인 클래스와 밀접한 관련이 있습니다.
왜 중요한가
AI 코딩 에이전트는 정상적인 작동의 일부로 자신의 구성 파일을 점점 더 많이 생성하고 수정합니다. 이 취약점은 악성 또는 손상된 에이전트가 워크스페이스 구성에 hook을 작성하여 개발자 머신에서 지속적인 임의 코드 실행을 부트스트랩할 수 있음을 의미하며, 별도의 익스플로잇이 필요하지 않습니다. 또한 중독된 리포지토리를 통한 공급망 공격을 가능하게 합니다: 악성 리포지토리를 Cursor에서 클론하고 열면, 개발자는 한 줄의 코드도 작성하기 전에 조용히 손상됩니다.
공격 경로
공격자가 악성 .claude/settings.local.json을 워크스페이스 또는 리포지토리 내에서 제작하거나, Claude 에이전트를 설득하여 하나를 작성하도록 합니다. 피해자가 Cursor Desktop에서 워크스페이스를 열면, 에디터는 포함된 Claude hook 명령(예: SessionStart hook)을 개발자의 전체 OS 수준 권한으로 읽고 실행하며, 사용자에게 승인 프롬프트를 표시하지 않습니다.
영향받는 시스템
Cursor Desktop (AI 코드 에디터) < 3.0.0
완화 방안
Cursor Desktop 3.0.0 이상으로 업그레이드하십시오. 이 버전은 워크스페이스에서 정의한 Claude hook 명령을 실행하기 전에 명시적인 사용자 승인을 요구합니다. 공지사항: https://github.com/cursor/cursor/security/advisories/GHSA-pc9j-3qc2-95wv