Codice Ombra: come una falla nelle estensioni di Cursor AI ha lasciato i segreti degli sviluppatori alla mercé di chiunque

È iniziato come una rivelazione silenziosa nella community degli sviluppatori: un aggiornamento di routine di un’estensione, un’utility apparentemente innocua e - nel giro di pochi secondi - le tue credenziali più sensibili risucchiate via, senza un solo avviso. Benvenuti nel mondo del “CursorJacking”, una falla appena portata alla luce nel popolare ambiente di coding con AI Cursor, dove comodità ed estensibilità si sono scontrate con una devastante lacuna di sicurezza.

L’anatomia di un colpo silenzioso

I ricercatori di LayerX hanno lanciato l’allarme dopo aver scoperto che Cursor, uno strumento di sviluppo con AI ampiamente utilizzato, espone i segreti degli sviluppatori con una facilità sconcertante. Al centro del problema c’è la gestione delle credenziali di autenticazione da parte di Cursor: invece di sfruttare vault di sistema sicuri come macOS Keychain o Windows Credential Manager, Cursor memorizza questi segreti in un database SQLite in chiaro sulla macchina dell’utente.

Ancora peggio, Cursor non applica alcun controllo di accesso tra questo database e le sue estensioni. Ciò significa che qualunque estensione - indipendentemente dai permessi dichiarati - può leggere ed estrarre dati sensibili. L’exploit, soprannominato “CursorJacking”, può essere attivato da un’estensione malevola che si spaccia per un plugin innocuo. Una volta installato, l’add-on canaglia raccoglie silenziosamente le chiavi API e i token di sessione in chiaro, inviandoli a un server remoto dell’attaccante senza alcuna interazione dell’utente né avvisi.

Effetti a catena nel panorama dev

Le conseguenze non si limitano a una singola applicazione. Con l’accesso a potenti chiavi API per piattaforme come OpenAI e Anthropic, gli attaccanti possono accumulare fatture enormi, esfiltrare codice proprietario e metadati e compromettere servizi di terze parti. Nei casi peggiori, l’impersonificazione totale dell’utente potrebbe portare a violazioni a cascata su sistemi integrati e ambienti cloud.

Nonostante la gravità - un punteggio CVSS di 8,2 - la risposta di Cursor è stata deludente. L’azienda sostiene che le estensioni condividano lo stesso perimetro di fiducia delle applicazioni locali, scaricando sugli utenti l’onere di esaminare con attenzione ogni add-on installato. Nel frattempo, gli esperti di sicurezza avvertono che questa falla architetturale crea un “potente primitivo d’attacco” banale da sfruttare e devastante per impatto.

Finché Cursor non ripenserà la propria architettura delle estensioni e non implementerà un solido isolamento delle credenziali, agli sviluppatori resta una sola linea di difesa: estrema cautela. In un ecosistema costruito su fiducia e collaborazione, è una posizione davvero precaria.

Riflessione

La perdita silenziosa di credenziali in Cursor è un monito netto: nella corsa all’innovazione, l’igiene di sicurezza di base non può essere un ripensamento. Per gli sviluppatori, è un invito a scrutinare ogni estensione - e per i vendor, un campanello d’allarme per blindare i segreti che alimentano il futuro del codice.

WIKICROOK

• Chiave API: una chiave API è un codice univoco che consente ai programmi di accedere a dati o servizi. Se non adeguatamente protetta, può rappresentare un rischio di cybersicurezza.
• Database SQLite: SQLite è un motore di database leggero, basato su file, usato per l’archiviazione locale dei dati nelle applicazioni, offrendo semplicità e affidabilità senza un server.
• Punteggio CVSS: un punteggio CVSS valuta la gravità delle vulnerabilità di sicurezza da 0 a 10, con numeri più alti che indicano maggiore rischio e urgenza di risposta.
• Token di sessione: un token di sessione è un codice digitale univoco che mantiene gli utenti connessi a siti web o app. Se rubato, gli attaccanti possono accedere agli account senza password.
• Controllo degli accessi: il controllo degli accessi stabilisce regole e usa strumenti per decidere chi può visualizzare, usare o modificare sistemi informatici e dati sensibili, proteggendoli da accessi non autorizzati.