Apa yang terjadi
Cursor Desktop versi sebelum 3.0.0 akan secara otomatis membaca dan mengeksekusi perintah hook yang ditentukan dalam .claude/settings.local.json dalam sebuah workspace tanpa memerlukan persetujuan pengguna khusus. Seorang threat actor — atau agen AI yang dikompromikan/berbahaya yang beroperasi dalam workspace — dapat menulis atau mengirimkan file pengaturan yang dirancang berisi perintah OS arbitrer (misalnya, exfiltration kredensial, instalasi backdoor) yang dieksekusi secara diam-diam saat IDE dimulai atau sesi Claude dimulai. Ini berkaitan erat dengan kelas kampanye Shai-Hulud/Hades yang lebih luas yang memanfaatkan file konfigurasi agen coding AI sebagai vektor persistensi.
Mengapa penting
Agen coding AI semakin sering membuat dan memodifikasi file konfigurasi mereka sendiri sebagai bagian dari operasi normal. Kerentanan ini berarti agen yang berbahaya atau dikompromikan dapat bootstrap eksekusi kode arbitrer persistensi pada mesin developer dengan menulis hook ke dalam konfigurasi workspace — tidak perlu exploit terpisah. Ini juga memungkinkan serangan supply-chain melalui repo yang terkontaminasi: setiap developer yang mengklon dan membuka repository berbahaya di Cursor akan terkompromikan secara diam-diam sebelum menulis satu baris kode pun.
Vektor serangan
Penyerang membuat .claude/settings.local.json yang berbahaya (atau membujuk agen Claude untuk menulis satu) di dalam workspace atau repository. Ketika korban membuka workspace di Cursor Desktop, editor membaca dan mengeksekusi perintah Claude hook yang tertanam (misalnya, hook SessionStart) dengan privilege OS pengguna developer secara penuh, tanpa menampilkan prompt persetujuan apa pun kepada pengguna.
Sistem yang terdampak
Cursor Desktop (editor kode AI) < 3.0.0
Mitigasi
Upgrade ke Cursor Desktop 3.0.0 atau lebih baru, yang memerlukan persetujuan pengguna eksplisit sebelum mengeksekusi perintah Claude hook yang ditentukan workspace. Pemberitahuan: https://github.com/cursor/cursor/security/advisories/GHSA-pc9j-3qc2-95wv