ثغرات خطيرة في محرر الأكواد “Cursor”: حقن الأوامر عبر التعليمات النصية

كشف باحثو Cato AI Labs عن ثغرتين بالغتي الخطورة في محرر الأكواد المدعوم بالذكاء الاصطناعي Cursor، يمكن من خلالهما لكود حقن نصي عادي أن يتجاوز صندوق الحماية (Sandbox) وينفذ أوامر مباشرة على جهاز المطوّر. الثغرتان تحملان الرمز CVE-2026-50548 وCVE-2026-50549، وتقيّمان بدرجة خطورة 9.8/10 وفق معيار CVSS 3.1 (أو 9.3 وفق CVSS 4.0).

كيف يعمل صندوق الحماية ولماذا انهار؟

ابتداءً من الإصدار 2.x، اعتمد Cursor تشغيل أوامر الطرفية داخل صندوق حماية يقيّد ما يمكن أن تصل إليه هذه الأوامر. لكن ثغرتي DuneSlide كسرت هذا القيد عبر حقن التعليمات النصية. المهاجم لا يحتاج إلى إدخال مباشر في Cursor، بل يزرع تعليمات خفية في خدمة متصلة عبر Model Context Protocol (MCP) أو في صفحة ويب يستعرضها الوكيل الذكي. المستخدم يطرح سؤالًا عاديًا، لكن التعليمات الخفية تصل مع الإجابة، لتتحول إلى هجوم “صفر نقرة” دون موافقة أو تفاعل من الضحية.

تفاصيل الثغرتين
  • CVE-2026-50548: تستغل إعدادًا في أداة run_terminal_cmd، حيث يسمح الصندوق بالكتابة داخل مجلد العمل. إذا غيّر الوكيل المسار إلى ملف نظامي بدل المشروع، يمكنه الكتابة فوق ملفات حساسة مثل أداة المساعدة الخاصة بالصندوق نفسه، مما يعطل الحماية كليًا.
  • CVE-2026-50549: تستغل خللًا في التحقق من الروابط الرمزية (Symlinks). عند فشل التحقق، يثق Cursor بالمسار الظاهري داخل المشروع، حتى لو كان الرابط يشير إلى خارج المشروع. النتيجة نفسها: الكتابة فوق ملفات النظام وتعطيل الصندوق.

بمجرد تعطيل الصندوق، تُنفذ الأوامر التالية بصلاحيات المستخدم، ما يمنح المهاجم سيطرة كاملة على الجهاز وبيئات العمل السحابية المرتبطة.

السياق الأمني والتاريخي

هذه الثغرات تأتي امتدادًا لسلسلة من الهجمات على Cursor:

  • CurXecute (CVE-2025-54135): استغلال رسالة Slack لتعديل إعداد MCP وتشغيل أوامر رغم رفض المستخدم.
  • MCPoison (CVE-2025-54136): السماح بتغيير إعدادات MCP بعد الموافقة الأولى دون إشعار ثانٍ.
  • CVE-2026-26268: استغلال خطاف Git خبيث لتنفيذ أوامر بمجرد تشغيل الوكيل لأمر Git.

صندوق الحماية في الإصدار 2.x كان رد Cursor على هذه الثغرات، لكن DuneSlide أثبت أنه قابل للتجاوز.

التداعيات الأمنية

رغم عدم وجود دلائل على استغلال الثغرتين في هجمات فعلية حتى الآن، إلا أن خطورتهما تكمن في سهولة التنفيذ وعدم الحاجة إلى تفاعل المستخدم. هذا يثير تساؤلات جوهرية حول مستقبل وكلاء البرمجة المدعومين بالذكاء الاصطناعي، وما إذا كان يجب اعتبار كل مدخلات من الويب “معادية” بشكل افتراضي.

محمد طاهر
محمد طاهر
المقالات: 1720

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.