سواتي خاندلوال01 يوليو 2026ترميز الذكاء الاصطناعي/الضعف

هناك عيبان في Cursor، وهو محرر أكواد برمجية يعمل بالذكاء الاصطناعي، يمكن أن يسمحا لموجه واحد ذو مظهر عادي بالخروج من صندوق حماية الأمان الخاص بالمحرر وتشغيل أي أمر على كمبيوتر المطور. لا توجد نقرة لتقع عليها ولا يوجد مربع موافقة لتجاهله.

عثرت شركة Cato AI Labs على الزوجين وأطلقت عليهما اسمًا DuneSlide. يتم تتبعهما كـ CVE-2026-50548 وCVE-2026-50549، وكلاهما حصلا على تقييم 9.8 من 10 (أو 9.3 تحت مقياس CVSS 4.0 الأحدث).

الإصلاح خارج بالفعل. تم تصحيح كلا الخللين في Cursor 3.0، الذي تم إصداره في 2 أبريل، ويتأثر كل إصدار قبل الإصدار 3.0. يقول صانع المؤشر أن أكثر من نصف شركات Fortune 500 يستخدمون الأداة، لذا إذا قمت بتشغيلها، فقم بالتحديث الآن.

ما هو الغرض من صندوق الرمل وكيف تم كسره

بدءًا من السطر 2.x، يقوم المؤشر بتشغيل الأوامر الطرفية التي يصدرها وكيل الذكاء الاصطناعي الخاص به داخل صندوق الحماية افتراضيًا: صندوق مغلق يحد من ما يمكن أن تلمسه تلك الأوامر، لذلك لا يمكن للتعليمات الضالة أن تدمر الجهاز.

DuneSlide يدور حول الخروج من هذا الصندوق. الطريق هو الحقن الفوري. لا يكتب المهاجم أبدًا في المؤشر الخاص بك. إنهم يزرعون التعليمات داخل شيء يقرأه وكيلك نيابة عنك، مثل خدمة متصلة من خلال بروتوكول السياق النموذجي (MCP) أو صفحة يتم إرجاعها عن طريق بحث الويب.

أنت تطرح سؤالاً عاديًا، وتأتي التعليمات المخفية أثناء الرحلة، ولأن الأمر لا يحتاج إلى نقرة أو موافقة منك، فإن الهجوم يكون “بنقرة صفر”.

يستخدم كلا العيبين نفس الخدعة: اجعل الوكيل يكتب ملفًا واحدًا لا ينبغي السماح له بكتابته، ثم استخدم تلك الكتابة لإيقاف تشغيل وضع الحماية.

  • CVE-2026-50548 يسيء استخدام الإعداد. يسمح وضع الحماية بالكتابة في مجلد عمل الأمر، وهذا المجلد عبارة عن معلمة اختيارية، دليل_العمل، في أداة run_terminal_cmd الخاصة بـ Cursor. عندما يقوم الوكيل بتعيينه على مسار غير افتراضي، يضيف المؤشر هذا المسار إلى قائمة الكتابة المسموح بها دون سؤال. تشير التعليمات المحقونة إلى ملف نظام بدلاً من المشروع. قم بالكتابة فوق مساعد وضع الحماية نفسه (في نظام التشغيل macOS، /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox)، وتشغيل الأوامر الأحدث بدون وضع الحماية على الإطلاق. تعمل ملفات بدء التشغيل مثل ~/.zshrc كأهداف أيضًا.
  • CVE-2026-50549 يسيء استخدام فحص السلامة. قبل الكتابة، يقوم المؤشر بتحليل الاختصارات (الارتباطات الرمزية) للتأكد من أن الوجهة الحقيقية موجودة داخل مشروعك. الخطأ هو البديل: عندما يفشل هذا التحقق، لأن الهدف غير موجود أو يقوم المهاجم بإزالة حق الوصول للقراءة من مجلد في المسار، يستسلم المؤشر ويثق في مسار الاختصار داخل المشروع بدلاً من ذلك. يقوم المهاجم بإنشاء اختصار يشير إلى خارج المشروع، ويجبر عملية التحقق على الفشل، ويكتب المؤشر مباشرة من خلاله إلى مساعد وضع الحماية نفسه. نفس الهروب، باب مختلف.

بمجرد تحييد وضع الحماية، سيتم تشغيل الأمر التالي نيابة عنك. وهذا يعني التحكم في جهاز المطور، بالإضافة إلى أي مساحات عمل سحابية أو SaaS تم تسجيل دخول المحرر إليها. كل ذلك يأتي من موجه واحد يبدو غير ضار.

ولا يوجد ما يشير إلى أن هذا قد تم استخدامه في هجمات حقيقية. يقدمها كاتو على أنها بحث، وليس حملة نشطة، ولا يُظهر سجل الضعف العام أي استغلال معروف حتى وقت النشر.

أبلغ كاتو عن كلتا القضيتين في 19 فبراير. وبحسب حساب كاتو، رفضهما كورسور بعد أربعة أيام، قائلًا إن نموذج التهديد الخاص به لا يغطي إساءة استخدام خوادم MCP، حتى الخوادم القياسية مثل مساحة العمل الخطية الرسمية.

تصاعد كاتو في 26 فبراير. أعاد المؤشر فتح التقارير وفرزها وشحن كلا الإصلاحين في الإصدار 3.0. تم تعيين معرفات CVE في 5 يونيو.

قام Cursor بنشر نصائحه الخاصة بشأن خطأ الارتباط الرمزي، كما أصبح سجل NVD الخاص به مباشرًا.

ليست الأولى، وربما ليست الأخيرة

يعد DuneSlide هو الأحدث في سلسلة من أخطاء المؤشر التي تبدأ بموجه مسموم وتنتهي بتنفيذ التعليمات البرمجية، وكل واحدة منها تتغلب على حاجز حماية مختلف. غطت Hacker News الجولات السابقة:

  • جاء CurXecute (CVE-2025-54135، أغسطس 2025) من نفس الفريق، ثم كان يعمل باسم Aim Security. أعادت رسالة Slack المزروعة كتابة تكوين Cursor ~/.cursor/mcp.json وتشغيل الأوامر حتى بعد رفض المستخدم للتعديل. ثابت في 1.3.
  • يتيح MCPoison (CVE-2025-54136)، من Check Point Research، للمهاجم الحصول على موافقة على تكوين MCP مرة واحدة، ثم تبادل الأوامر الضارة بهدوء دون الحاجة إلى مطالبة ثانية.
  • قام CVE-2026-26268 (فبراير 2026) بإخفاء خطاف Git مفخخ في مستودع تم تشغيله في اللحظة التي قام فيها العميل بتشغيل أمر Git. مصححة في 2.5.

كان صندوق الرمل الموجود في السطر 2.x هو إجابة المؤشر لتلك الموجة السابقة. DuneSlide يدور حول الهروب من الإجابة.

وتقول شركة كاتو إنها تكشف عن عيوب مماثلة في أدوات تشفير أخرى، وتجادل بأن المشكلة هيكلية وليست سلسلة من العمليات التي تحدث لمرة واحدة.

وهذا يترك سؤالاً مفتوحًا لأي شخص يشحن وكيلًا يقرأ الويب المفتوح: ما إذا كان التعامل مع كل مدخلات على أنها معادية يصبح هو الوضع الافتراضي، أم يظل التدافع من التصحيح إلى التصحيح.

شاركها.
اترك تعليقاً