IT Home ITHome
92

Tin ngành

Công cụ lập trình AI Cursor dính lỗ hổng bảo mật nghiêm trọng, 7 tháng chưa được khắc phục

(giờ Việt Nam)

Tóm tắt AI

Công cụ lập trình Cursor (thuộc SpaceX) bị phát hiện lỗ hổng cho phép thực thi mã độc tùy ý mà không cần tương tác người dùng. Dù đã được báo cáo từ 7 tháng trước, phía Cursor vẫn chưa đưa ra bản vá lỗi chính thức.

Bản dịch AI

Theo tin từ IT ngày 15 tháng 7, Mindgard đã đăng tải một bài viết vào ngày hôm qua (14 tháng 7), báo cáo rằng công cụ lập trình Cursor của Musk tồn tại lỗ hổng bảo mật cho phép thực thi mã tùy ý, và phía nhà phát triển vẫn chưa khắc phục sau 7 tháng kể từ khi được thông báo.

Cursor là một trình soạn thảo mã nguồn tích hợp tính năng hỗ trợ lập trình bằng AI, cho phép mở, duyệt và chỉnh sửa mã dự án phần mềm. Vào tháng 6 năm nay, công cụ này đã được SpaceX của Musk mua lại với mức định giá giao dịch đạt 60 tỷ USD (IT lưu ý: theo tỷ giá hối đoái hiện tại tương đương khoảng 406,922 tỷ Nhân dân tệ).

Mindgard cho biết toàn bộ quá trình kích hoạt lỗ hổng không cần người dùng nhấp vào bất kỳ nút nào, không cần đưa ra chỉ dẫn cho AI, cũng không hiển thị cảnh báo hay giao diện xác nhận. Kẻ tấn công chỉ cần đặt một tệp git.exe độc hại ở thư mục gốc của kho lưu trữ, Cursor sẽ ưu tiên hoặc trực tiếp thực thi tệp này.

Trong thử nghiệm chứng minh khái niệm (PoC), Mindgard đã đổi tên ứng dụng Máy tính (Calculator) trên Windows thành git.exe rồi đặt vào kho lưu trữ. Sau khi dùng Cursor mở kho lưu trữ đó, ứng dụng Máy tính lập tức được khởi chạy; nếu kho lưu trữ vẫn ở trạng thái mở, ứng dụng này sẽ liên tục chạy, tạo ra nhiều cửa sổ cùng lúc.

Mindgard đã gửi báo cáo cho bộ phận phụ trách bảo mật của Cursor vào ngày 15 tháng 12 năm 2025. Tuy nhiên, tính đến ngày 30 tháng 4 năm 2026, vấn đề này vẫn có thể tái hiện trên Cursor phiên bản 3.2.16 dành cho Windows.

Mindgard cho biết họ đã nhiều lần gửi yêu cầu phản hồi từ tháng 2 đến tháng 4 năm 2026 nhưng không nhận được hồi âm; ngay cả khi họ bày tỏ ý định công khai lỗ hổng vào ngày 1 tháng 6 năm 2026, tình trạng khắc phục vẫn không rõ ràng. Do đó, Mindgard đã công bố chi tiết về lỗ hổng vào ngày 14 tháng 7 năm 2026.

Tuyên bố quảng cáo: Các liên kết chuyển hướng bên ngoài có trong bài viết (bao gồm nhưng không giới hạn ở siêu liên kết, mã QR, mật khẩu, v.v.) được sử dụng để truyền tải thêm thông tin, giúp tiết kiệm thời gian chọn lọc, kết quả chỉ mang tính chất tham khảo. Tất cả các bài viết của IT đều bao gồm tuyên bố này.

CursorBảo mật AILập trìnhSpaceXLỗ hổng phần mềm
Đọc bài gốc

Bài viết được AI dịch và tổng hợp tự động từ IT Home ITHome. Liên kết bài gốc ở phía trên. AIHOT.vn luôn dẫn nguồn đầy đủ — nếu bạn thấy điểm cần chỉnh sửa, hãy gửi ý kiến tại trang phản hồi.