Oasis Security, sebuah perusahaan keamanan siber yang berfokus pada identifikasi dan mitigasi kerentanan keamanan, baru-baru ini menemukan sebuah kelemahan keamanan signifikan dalam Cursor AI, sebuah alat bantu pengkodean berbasis AI yang sedang naik daun.
Temuan ini muncul setelah Oasis Security melakukan pengujian penetrasi (penetration testing) secara menyeluruh terhadap Cursor AI, yang memungkinkan pengembang untuk menghasilkan kode secara otomatis berdasarkan deskripsi bahasa alami.
Laporan yang diterbitkan oleh Oasis Security mengidentifikasi bahwa Cursor AI rentan terhadap serangan injeksi perintah. Kerentanan ini muncul ketika Cursor AI menginterpretasikan input bahasa alami dari pengguna untuk menghasilkan perintah yang kemudian dieksekusi pada sistem host. Lebih spesifik, kelemahan ini memungkinkan penyerang untuk menyuntikkan perintah berbahaya ke dalam input yang diberikan kepada Cursor AI, yang kemudian dieksekusi oleh sistem tersebut. Hal ini secara efektif memberi penyerang akses tingkat sistem ke server tempat Cursor AI dijalankan.
Menurut laporan, Oasis Security menemukan bahwa kurangnya validasi input yang tepat pada input bahasa alami menyebabkan kerentanan. Cursor AI gagal secara efektif memvalidasi dan membersihkan input dari karakter atau perintah berbahaya. Akibatnya, penyerang dapat menyuntikkan perintah khusus yang dirancang untuk membahayakan sistem.
Oasis Security menekankan pentingnya validasi input yang ketat dan sanitasi input dalam pengembangan perangkat lunak berbasis AI. Mereka merekomendasikan agar pengembang Cursor AI menerapkan kontrol input yang ketat untuk mencegah injeksi perintah. Kontrol ini harus mencakup validasi input, sanitasi input, dan pemblokiran perintah yang tidak diotorisasi.
Selain mengidentifikasi kerentanan, Oasis Security juga menyediakan rekomendasi spesifik untuk memitigasinya. Mereka merekomendasikan penggunaan sandbox untuk menjalankan perintah yang dihasilkan oleh Cursor AI, yang akan membatasi dampak dari injeksi perintah. Mereka juga merekomendasikan penggunaan model keamanan yang kuat untuk memantau dan mendeteksi aktivitas yang mencurigakan.
Penemuan ini menyoroti risiko yang terkait dengan penggunaan alat bantu pengkodean berbasis AI, terutama yang bergantung pada interpretasi bahasa alami. Hal ini menekankan pentingnya pengembang untuk memprioritaskan keamanan dan menerapkan praktik keamanan yang kuat untuk melindungi sistem mereka dari serangan.
Secara khusus, Oasis Security mendorong pengembang Cursor AI untuk segera mengatasi kerentanan ini. Mereka telah menghubungi Cursor AI tentang temuan mereka dan berharap mereka akan merespons dengan cepat dan menerapkan perbaikan yang diperlukan. Komunitas pengembang perlu menyadari risiko ini dan mengambil langkah-langkah untuk melindungi sistem mereka dari potensi serangan.