무슨 일이 있었나
2026-03-31 수정 이전, Cursor의 브라우저 활성화 Cloud Agent 세션은 에이전트 브라우저 내에서 렌더링된 모든 웹 콘텐츠에서 도달 가능한 인증되지 않은 로컬 에이전트 엔드포인트를 노출했으며, 이를 통해 악성 웹페이지가 에이전트 자신의 샌드박스된 세션으로 코드 실행을 수행할 수 있었습니다.
왜 중요한가
이는 AI 코딩 에이전트가 검색하는 신뢰할 수 없는 웹 콘텐츠가 에이전트의 실행 샌드박스로 탈출하고 세션의 자격증명(GitHub App 토큰 포함)을 탈취할 수 있는 경계 간 공격입니다. 브라우저 사용 도구와 인증되지 않은 로컬 제어 플레인 엔드포인트를 결합하는 새로운 에이전트 실행 공격 클래스를 입증합니다.
공격 경로
공격자 제어 웹 콘텐츠가 브라우저 활성화 Cursor Cloud Agent 세션 내에 로드되면 에이전트 컨테이너 내에서 인증되지 않은 로컬 에이전트 엔드포인트에 연결할 수 있으며, 샌드박스 내에서 코드 실행을 달성하고 해당 세션에서 사용 가능한 파일, 환경 변수, 자격증명 및 GitHub App 접근 토큰을 유출할 수 있습니다.
영향받는 시스템
Cursor Cloud Agent (브라우저 활성화 세션), 2026-03-31 수정됨
완화 방안
Cursor가 2026-03-31에 영향을 받은 로컬 에이전트 엔드포인트에 인증을 요구하도록 수정했습니다. Cursor Cloud Agent 클라이언트가 수정 이후로 업데이트되었는지 확인하세요. GHSA-whx2-4gvm-m3r3를 참조하세요.