關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 人工智慧
顯示分類
2025.10.22
事件與威脅/人工智慧
Cursor、Windsurf IDE 存在超過 94 個 n-day Chromium 漏洞

Cursor 和 Windsurf 整合開發環境的最新版本容易受到 Chromium 瀏覽器和 V8 JavaScript 引擎中 94 多個已知和已修補的安全問題的影響,預計有 180 萬名開發人員(這兩個 IDE 的用戶群)面臨風險。儘管自 10 月 12 日起負責任地披露了安全問題,但風險仍然存在,因為 Cursor 認為該報告「超出範圍」,而 Windsurf 尚未做出回應。

 

AI 程式碼編輯器的技術根源與固有風險

Cursor 和 Windsurf 是從 Visual Studio Code 衍生而來的 AI 程式碼編輯器,它們整合了大型語言模型 (LLM),幫助開發人員更輕鬆、更快速地編寫軟體。它們以 Electron 應用程式的形式分發,這意味著應用程式在運行時打包了用於呈現 Web 內容的特定 Chromium 版本,並在二進位檔案中包含瀏覽器的 V8 JavaScript 引擎。

Electron 框架允許開發者使用網頁技術(HTML、CSS、JavaScript)來構建跨平台的桌面應用程式。然而,問題的關鍵在於其運作機制:特定的 Electron 版本固定了一個對應的 Chromium + V8 版本,如果供應商不升級它,則每個後續版本中修復的缺陷都會成為 IDE 中可利用的風險。換言之,由於這兩款 IDE 依賴於包含舊版 Chromium 和 V8 引擎的舊版 VS Code(進而依賴舊版 Electron),導致它們繼承了那些本應在最新版本 Chrome 瀏覽器中已被修復的 N-Day 漏洞。

94 個以上 N-Day 漏洞的威脅規模

安全研究人員指出,Cursor 和 Windsurf 目前使用的 Chromium 版本中,至少存在 94 個已知的漏洞。這些漏洞已經在較新的 Chromium 版本中得到修補,但由於 IDE 供應商未及時更新底層框架,導致這些修復未能傳遞給終端使用者。這種延遲和不作為,使得預估高達 180 萬名的開發人員暴露在嚴重的安全風險之下。

Ox Security 研究人員成功證明了其中一個漏洞 CVE-2025-7656 的可利用性。此漏洞是 Google Chrome V8 引擎中的一個 Maglev JIT 整數溢位(Integer Overflow)缺陷,早已於 7 月 15 日被修復。

 

駭客攻擊的演示與潛在途徑

Ox Security 證明可以透過深層連結利用 CVE-2025-7656 中所述的 Maglev JIT 整數溢出,該連結執行 Cursor 並注入提示,指示其瀏覽器存取託管漏洞利用負載的遠端 URL。一旦使用者點擊這個惡意深層連結並執行 Cursor,IDE 內嵌的瀏覽器就會被導向一個託管攻擊酬載的遠端網址。該遠端頁面提供惡意的 JavaScript 代碼,觸發 CVE-2025-7656 漏洞利用。

儘管 Ox Security 的概念驗證攻擊演示僅導致了 Cursor 應用程式的拒絕服務(Denial-of-Service, DoS)條件,即程式崩潰,但研究人員強烈警告,在實際世界中,這種缺陷極有可能被利用來實現任意代碼執行(Arbitrary Code Execution)

駭客可以利用多種途徑觸發此類漏洞,包括:

  1. 惡意擴充功能: 利用惡意擴充功能來觸發漏洞利用程式碼。

  2. 文檔和教學: 將漏洞利用代碼注入到程式碼文檔和教學文件中。

  3. 經典網路釣魚: 透過傳統的網路釣魚攻擊引誘開發者點擊惡意連結。

  4. 毒化儲存庫: 將惡意程式碼植入到 IDE 會預覽的 README 檔案中。

 

供應商的回應與風險評估的忽視

在收到 Ox Security 提供的概念驗證攻擊報告後,Cursor 駁回了該報告,認為「自我造成的 DoS 超出範圍」(self-inflicted DoS is out of scope)。

研究人員指出,這種立場忽視了該漏洞更嚴重的潛在利用可能,包括記憶體損壞原語(memory-corruption primitives)的利用,以及更廣泛的、存在於所使用 Electron 應用程式中尚未修補的 CVE 漏洞集。Ox Security 強調,自從 Cursor 上次更新 Chromium(版本 0.47.9,Chromium 132.0.6834.210)以來,已經至少發布了 94 個已知的 CVE,而他們僅僅將其中一個武器化。Windsurf 方面則尚未做出任何回應。

相較之下,最新版本的 Visual Studio Code 因為定期更新並修復所有已知錯誤,並不受此漏洞的影響。這突顯了對基礎框架進行持續且及時的更新,是任何基於 Electron 的應用程式供應商必須履行的安全責任,特別是對於處理高度敏感程式碼的開發工具而言。開發人員應警惕使用這些過時的 IDE,直到供應商修復底層框架的漏洞,以避免成為大規模網路攻擊的受害者。


資料來源:https://www.bleepingcomputer.com/news/security/cursor-windsurf-ides-riddled-with-94-plus-n-day-chromium-vulnerabilities/
 
揭露 Cursor 和 Windsurf 兩款流行的 AI 程式碼編輯器,因基於過時的 Electron 框架,導致其最新版本帶有 Chromium 瀏覽器和 V8 JavaScript 引擎中超過 94 個已知且已修補的安全漏洞。