← promppy_ 실시간 AI 뉴스
중요GeekNews

Cursor 제로데이: 저장소만 열어도 임의 코드 실행 위험

Cursor는 Workspace Trust가 기본 비활성. tasks.json 자동 실행 차단하고 작업 공간 격리 필수.

요약

Cursor의 보안 취약점은 저장소 복제와 코드 실행을 동일한 보안 경계로 취급하는 설계 문제에서 기인하며, .vscode/tasks.json의 'runOn': 'folderOpen' 옵션을 통해 악성 코드 실행이 가능한 상태다. Mindgard는 2025년 12월 15일 해당 취약점을 최초 발견했으나, 6개월이 지난 현재까지 Cursor 측의 공식 대응이나 수정이 이루어지지 않아 논란이 되고 있다. 전문가들은 악성 바이너리가 이미 사용자 파일 시스템에 존재해야 하는 선행 조건이 필요하므로 위험도가 제한적일 수 있다고 분석하며, 이는 Cursor만의 결함이라기보다 Windows의 파일 실행 검색 순서와 관련된 복합적인 문제로 평가한다. 보안 업계에서는 LLM으로 작성된 저품질 취약점 보고서가 급증하는 가운데, 보고서 작성 시 불필요한 형용사를 배제하고 재현 과정을 중심으로 간결하게 작성할 것을 권장하고 있다. 이번 사례는 개발 도구의 보안 경계 설정에 대한 실무자의 주의와 함께, 취약점 발견 시 효율적인 커뮤니케이션의 중요성을 시사한다.

AI가 원문을 요약한 내용으로, 부정확할 수 있습니다.

원문 제목 Cursor 제로데이: 완전 공개만이 남은 보호 수단이 된 이유

원문 보기 ↗

promppy는 한국 AI 실무자를 위한 실시간 AI 뉴스 터미널입니다.

15분마다 속보·중요·팁 자동 수집 · 한국어 요약 제공

실시간 피드 보기 →RSS 구독

최신 뉴스

더 많은 실시간 AI 뉴스 →