무슨 일이 있었나
Cursor 3.0 이전 버전에서 에이전트 터미널 샌드박스는 쓰기 작업 전에 대상 경로를 정규화하여 작업 공간 내에 유지되는지 확인합니다. working_directory 파라미터 처리의 결함으로 인해 샌드박스는 의도된 작업 공간 외부의 쓰기 가능 경로를 포함합니다. working_directory를 민감한 위치로 설정하면 에이전트는 cursorsandbox 도우미를 덮어쓰는 것과 같은 임의의 파일을 쓸 수 있으므로 추가 사용자 상호작용 없이 샌드박스 우회 RCE를 활성화합니다.
왜 중요한가
Cursor는 엔터프라이즈 환경에서 가장 널리 채택된 AI 코딩 어시스턴트입니다. 에이전트 모드의 샌드박스 탈출은 외부 콘텐츠(이슈 추적기, 웹 검색, 리포지토리 콘텐츠)를 통한 프롬프트 주입이 전체 호스트 RCE로 이어질 수 있음을 의미합니다. 공격자는 소스 코드, 자격 증명, SSH 키 및 클라우드 토큰을 유출하거나 개발자 워크스테이션에 지속성을 확립할 수 있습니다. 이는 개발자 공급망 공격 벡터입니다.
공격 경로
악의적인 에이전트(프롬프트 주입이나 악의적인 리포지토리 콘텐츠를 통해 트리거됨)는 working_directory를 ~/.cursor 또는 시스템 디렉토리와 같은 민감한 경로로 설정합니다. 샌드박스는 작업 디렉토리에 대한 쓰기 액세스를 부여하므로 에이전트는 cursorsandbox 도우미 바이너리 또는 기타 특권 파일을 덮어쓸 수 있으며, 이로 인해 후속 명령은 완전한 사용자 권한으로 샌드박스 외부에서 실행됩니다.
영향받는 시스템
Cursor AI 코드 에디터 < 3.0
완화 방안
Cursor 3.0으로 업그레이드하세요. 권고사항: https://github.com/cursor/cursor/security/advisories/GHSA-3p48-7v9f-v5cw