AI कोड एडिटर 'Cursor' में एक बड़ी खामी का पता चला है, जहाँ मैलीशियस रिपॉजिटरी के माध्यम से हमलावर आपके विंडोज सिस्टम पर बिना किसी चेतावनी के कोड चला सकते हैं।
मुख्य बिंदु (Key Takeaways)
- Cursor AI एडिटर में एक गंभीर सुरक्षा भेद्यता (vulnerability) पाई गई है।
- यदि प्रोजेक्ट रूट में 'git.exe' नाम की फाइल मौजूद है, तो Cursor उसे बिना किसी अनुमति के चला देता है।
- यह हमलावर को आपके SSH कीज़, क्लाउड टोकन और सोर्स कोड तक अनधिकृत पहुंच प्रदान कर सकता है।
- विंडोज उपयोगकर्ताओं के लिए यह जोखिम विशेष रूप से अधिक है।
साइबर सुरक्षा विशेषज्ञों ने लोकप्रिय AI-संचालित कोड एडिटर Cursor में एक अत्यंत चिंताजनक सुरक्षा खामी की पहचान की है। यह खामी विशेष रूप से Windows उपयोगकर्ताओं को लक्षित करती है, जिससे हमलावरों को किसी भी उपयोगकर्ता के सिस्टम पर दुर्भावनापूर्ण कोड (malicious code) निष्पादित करने का मौका मिल सकता है।
कैसे काम करता है यह हमला?
इस भेद्यता का तरीका काफी सरल लेकिन घातक है। यदि कोई डेवलपर किसी क्लोन की गई रिपॉजिटरी (cloned repository) को Cursor में खोलता है और उस प्रोजेक्ट के रूट फोल्डर में 'git.exe' नाम की एक फाइल मौजूद है, तो Cursor स्वचालित रूप से उस फाइल को रन कर देता है। सबसे भयावह बात यह है कि इस प्रक्रिया के दौरान उपयोगकर्ता को न तो कोई पॉप-अप संदेश मिलता है, न ही किसी अनुमति (approval) की मांग की जाती है और न ही कोई चेतावनी दी जाती है।
डेटा और गोपनीयता पर प्रभाव
एक बार जब यह बाइनरी फाइल निष्पादित हो जाती है, तो यह उसी अधिकार स्तर (privilege level) के साथ काम करती है जिस स्तर पर उपयोगकर्ता काम कर रहा है। इसका अर्थ है कि हमलावर आपके SSH keys, cloud tokens, और संवेदनशील source code तक पूरी पहुंच प्राप्त कर सकते हैं। जब तक प्रोजेक्ट Cursor में खुला रहता है, यह प्रक्रिया बार-बार दोहराई जा सकती है, जिससे सिस्टम की सुरक्षा लगातार खतरे में बनी रहती है।
सुरक्षा के उपाय और संदर्भ
यह घटना दर्शाती है कि जैसे-जैसे हम AI-आधारित विकास उपकरणों (development tools) की ओर बढ़ रहे हैं, सुरक्षा प्रोटोकॉल में खामियां और भी जटिल होती जा रही हैं। डेवलपर्स को सलाह दी जाती है कि वे किसी भी अज्ञात रिपॉजिटरी को खोलने से पहले उसके रूट डायरेक्टरी की सावधानीपूर्वक जांच करें और सुनिश्चित करें कि कोई संदिग्ध 'git.exe' या अन्य बाइनरी फाइल वहां मौजूद न हो।