Cursor的AI編程智能體在YOLO模式下可以自動(dòng)運(yùn)行��。據(jù)Backslash Security稱(chēng)�,用戶(hù)可能需要三思而后行��。
如果使用YOLO一詞——你只活一次——還不足以警告該公司對(duì)計(jì)算機(jī)安全的處理方式����,那么位于以色列特拉維夫的Backslash表示,Cursor用于防止其智能體刪除數(shù)據(jù)的所謂安全措施之一"嚴(yán)重不足���,甚至完全無(wú)用"�����。
YOLO模式�����,或稱(chēng)自動(dòng)運(yùn)行模式�����,允許Cursor智能體執(zhí)行多步驟編程任務(wù)���,無(wú)需在每個(gè)步驟都獲得人工批準(zhǔn)��。該模式配備了幾項(xiàng)設(shè)置,旨在限制可能造成的損害范圍����。這些設(shè)置包括:允許列表(使特定命令對(duì)智能體可用)、拒絕列表(指定智能體不應(yīng)調(diào)用的命令)��,以及防止文件被刪除的復(fù)選框����。
正如企業(yè)家Jason Lemkin最近使用Replit AI編程工具的經(jīng)歷所顯示的����,基于大語(yǔ)言模型的代碼幫助如果使用時(shí)缺乏足夠的謹(jǐn)慎���,可能會(huì)做出刪除生產(chǎn)數(shù)據(jù)庫(kù)等激烈行為���。
Cursor提供拒絕列表試圖防范此類(lèi)問(wèn)題。例如����,通過(guò)將"rm"命令添加到拒絕列表,Cursor智能體應(yīng)該無(wú)法使用該命令刪除文件�����。因此��,一些Cursor用戶(hù)采用了冗長(zhǎng)的拒絕列表����。
但據(jù)Backslash稱(chēng),拒絕列表的實(shí)現(xiàn)可以被輕易繞過(guò)����。
應(yīng)用安全分析師Mustafa Naamneh和Micah Gold在博客文章中表示:"我們發(fā)現(xiàn)了不少于四種方式���,被入侵的智能體可以繞過(guò)Cursor拒絕列表并執(zhí)行未經(jīng)授權(quán)的命令。"
該公司表示�,拒絕列表無(wú)法阻止混淆命令。因此����,即使"curl"在拒絕列表中,智能體也會(huì)忠實(shí)地執(zhí)行以Base64編碼的命令echo JChjdXJsIGdvb2dsZS5jb20pCgoK | base64 -d | zsh����,該命令等同于echo $(curl google.com)。
如果命令包含在子shell中(如bash -c "curl google.com")�,或者寫(xiě)入shell腳本中(如echo curl google.com > curl.sh && chmod +x curl.sh && ./curl.sh),拒絕列表也會(huì)運(yùn)行被禁止的命令���。
最后�,在bash環(huán)境中可以通過(guò)使用雙引號(hào)或多組引號(hào)來(lái)繞過(guò)拒絕列表�����,這樣就無(wú)法明確阻止所有潛在的攻擊變體�����。
Naamneh和Gold表示:"Cursor的拒絕列表不可靠�。雖然它可能阻止智能體天真地運(yùn)行某些Linux命令,但無(wú)法阻止被入侵的智能體運(yùn)行它想要的任何命令�。"
安全公司表示,智能體執(zhí)行任意命令的能力意味著Cursor針對(duì)自動(dòng)運(yùn)行/YOLO模式事故的其他防御措施(如文件刪除預(yù)防)都是無(wú)用的��。
此類(lèi)命令如何到達(dá)Cursor智能體?據(jù)Naamneh和Gold稱(chēng)����,開(kāi)發(fā)者可能會(huì)"從隨機(jī)GitHub存儲(chǔ)庫(kù)導(dǎo)入rules.mdc文件——可重用的智能體指令——而不對(duì)其進(jìn)行審核"。
Backslash Security聯(lián)合創(chuàng)始人兼首席技術(shù)官Yossi Pik告訴The Register�����,Cursor智能體執(zhí)行風(fēng)險(xiǎn)命令還有其他方式����。例如,智能體可以處理來(lái)自共享代碼庫(kù)的注入文本�,如README或代碼注釋?��;蛘咧悄荏w可以從包含惡意指令的外部站點(diǎn)獲取并執(zhí)行內(nèi)容�����。
Pik解釋說(shuō):"智能體只需要處理包含注入命令的文件����、規(guī)則或響應(yīng)——無(wú)論是本地的、共享的還是遠(yuǎn)程獲取的����。攻擊成功并不需要網(wǎng)頁(yè)。"
你只活一次��,但遺憾卻是永恒的��。
Cursor沒(méi)有立即回應(yīng)評(píng)論請(qǐng)求��。據(jù)報(bào)告此問(wèn)題的Backslash稱(chēng)��,Cursor打算在1.3版本中棄用拒絕列表功能���,但在本文發(fā)布時(shí)該版本尚不可用�����。
