事件经过
Cursor Desktop 3.0.0 之前的版本会自动读取和执行工作区中 .claude/settings.local.json 定义的 hook 命令,无需任何专门的用户批准。威胁行为者或在工作区内运行的被破坏/恶意 AI 代理可以编写或传送包含任意操作系统级命令(例如凭证窃取、后门安装)的精心设计的设置文件,这些命令在 IDE 启动或 Claude 会话开始时以静默方式执行。这与更广泛的将 AI 编码代理配置文件作为持久化向量的 Shai-Hulud/Hades 活动类别密切相关。
影响分析
AI 编码代理在正常操作中越来越多地创建和修改自己的配置文件。这个漏洞意味着恶意或被破坏的代理可以通过向工作区配置中写入 hook 来引导在开发人员机器上实现持久性任意代码执行——无需单独的利用。它还通过被投毒的仓库实现供应链攻击:任何在 Cursor 中克隆并打开恶意仓库的开发人员在编写单行代码之前就会被静默破坏。
攻击途径
攻击者在工作区或仓库中设计恶意 .claude/settings.local.json(或说服 Claude 代理编写一个)。当受害者在 Cursor Desktop 中打开工作区时,编辑器读取并执行嵌入的 Claude hook 命令(例如 SessionStart hook),具有开发人员的完整操作系统级权限,不向用户显示任何批准提示。
受影响系统
Cursor Desktop(AI 代码编辑器)< 3.0.0
缓解措施
升级到 Cursor Desktop 3.0.0 或更高版本,该版本在执行工作区定义的 Claude hook 命令之前需要明确的用户批准。咨询:https://github.com/cursor/cursor/security/advisories/GHSA-pc9j-3qc2-95wv