网络安全公司 HiddenLayer 近期发布了一份重要安全报告,揭示了 AI 编程工具 Cursor 存在一种名为「CopyPasta 许可证攻击」的严重漏洞。该漏洞利用了 Cursor 在处理 LICENSE.txt 和 README.md 文件时的安全缺陷,允许黑客在这些文档中嵌入隐蔽的恶意指令。一旦 AI 工具在分析或复制这些文件时触发漏洞,黑客编写的恶意代码就会被自动注入到目标代码库中,从而为攻击者打开后门。
Cursor 作为一款备受推崇的 AI 编程辅助工具,已被 Coinbase、Binance 等全球知名的加密交易平台广泛部署。其强大的代码生成和自动补全功能极大地提升了开发效率,但也意外地成为了黑客利用的新靶点。HiddenLayer 的报告指出,这种攻击方式极具隐蔽性,因为恶意指令被巧妙地伪装在看似无害的许可证和文档中,使得普通开发者难以察觉。
此次发现的漏洞凸显了 AI 工具在安全防护方面面临的严峻挑战。随着 AI 技术在软件开发领域的普及,如何确保这些智能工具自身的安全性,已成为行业亟待解决的关键问题。HiddenLayer 建议相关企业立即对 Cursor 进行全面的安全评估,并更新相关文档处理机制,以防止类似攻击事件的发生。同时,该报告也提醒开发者,在依赖 AI 工具进行编程时,应保持高度警惕,定期审查代码库,避免潜在的安全风险。