무슨 일이 있었나
Cursor Desktop 3.0.0 이전 버전은 사용자의 전용 승인을 요구하지 않고 워크스페이스 내 .claude/settings.local.json에 정의된 훅 명령을 자동으로 읽고 실행했습니다. 위협 행위자 또는 워크스페이스 내에서 작동하는 손상/악성 AI 에이전트가 임의의 OS 수준 명령(예: 자격 증명 유출, 백도어 설치)을 포함하는 조작된 설정 파일을 작성하거나 전달할 수 있으며, 이는 IDE 시작 또는 Claude 세션 시작 시 조용히 실행됩니다. 이는 AI 코딩 에이전트 구성 파일을 지속성 벡터로 무기화하는 더 광범위한 Shai-Hulud/Hades 캠페인 클래스와 밀접하게 관련되어 있습니다.
왜 중요한가
AI 코딩 에이전트는 정상적인 작동의 일부로 자신의 구성 파일을 점점 더 많이 생성하고 수정합니다. 이 취약점은 악성 또는 손상된 에이전트가 워크스페이스 구성에 훅을 작성하여 개발자 머신에서 지속적인 임의 코드 실행을 부트스트랩할 수 있음을 의미합니다 — 별도의 익스플로잇이 필요하지 않습니다. 또한 중독된 저장소를 통한 공급망 공격도 가능합니다: Cursor에서 악성 저장소를 복제하고 여는 모든 개발자는 코드 한 줄을 작성하기 전에 조용히 손상됩니다.
공격 경로
공격자가 워크스페이스 또는 저장소 내에서 악성 .claude/settings.local.json을 조작하거나 Claude 에이전트가 이를 작성하도록 유도합니다. 피해자가 Cursor Desktop에서 워크스페이스를 열면, 편집기는 embedded Claude 훅 명령(예: SessionStart 훅)을 읽고 개발자의 모든 OS 수준 권한으로 실행하며, 사용자에게 승인 프롬프트를 표시하지 않습니다.
영향받는 시스템
Cursor Desktop (AI 코드 편집기) < 3.0.0
완화 방안
Cursor Desktop 3.0.0 이상으로 업그레이드하십시오. 이 버전은 워크스페이스 정의 Claude 훅 명령을 실행하기 전에 명시적인 사용자 승인을 요구합니다. 공지사항: https://github.com/cursor/cursor/security/advisories/GHSA-pc9j-3qc2-95wv