ភាពទន់ខ្សោយនៅក្នុងមជ្ឈដ្ឋាន Cursor Code Editor បានបណ្តាលឱ្យ Developer ជួបគ្រោះថ្នាក់នៅក្នុងការងារប្រតិបត្តិការដោយស្វ័យប្រវត្តិខណៈពេល Repository បានព្យាបាទ នៅពេលបើកវា។
ហេគឃ័រអាចកេងចំណេញលើបញ្ហារួចទម្លាក់មេរោគ, លួចមជ្ឈដ្ឋាន Developer, ឬលួចអត្តសញ្ញាណ និង API Tokens ដោយមិនត្រូវការប្រតិបត្តិការ Command ណាមួយពីអ្នកអភិវឌ្ឍទេ។ Cursor គឺជាមជ្ឈដ្ឋានការអភិវឌ្ឍដែលត្រូវបានរួមបញ្ចូលដោយ AI-powered (IDE) ត្រូវបានបង្កើតឡើងជាការថតចម្លងប្រភពកូដដែលមានសម្រាប់ Visual Studio Code (VS Code) ដោយមានការរួមបញ្ចូលនូវជំនួយការ AI សំខាន់ៗដូចជា GPT-4 និង Claude សម្រាប់កិច្ចការអភិវឌ្ឍកម្មវិធី។
វាគឺជា Fastest-growing AI-coding Tools ដែលបច្ចុប្បន្នត្រូវបានប្រើដោយអ្នកប្រើប្រាស់មួយលាននាក់សម្រាប់បង្កើត Lines of Code រាប់ពាន់លានរៀងរាល់ថ្ងៃ។
ប្រភពនៃបញ្ហា៖ អ្នកស្រាវជ្រាវនៅ Oasis Security ដែលជាក្រុមហ៊ុនមួយផ្តល់ការគ្រប់គ្រង និងដំណោះស្រាយសុវត្ថិភាពសម្រាប់ Non-human identities (NHIs) បានរកឃើញថា បញ្ហា Stems ពី Cursor ដែលបិទមុខងារ Workspace Trust ពី VS Code ដែលរារាំងប្រតិបត្តិការដោយស្វ័យប្រវត្តិដោយគ្មានការយល់ព្រមពីអ្នកអភិវឌ្ឍ។
នៅក្នុង Default Configuration មជ្ឈដ្ឋាន Cursor ប្រតិបត្តិកិច្ចការភ្លាមៗបន្ទាប់ពីបើក Project Folder។ ហេគឃ័រអាចទាញផលប្រយោជន៍ពីបញ្ហានេះដោយបន្ថែម .vscode/tasks.json file ព្យាបាទនៅក្នុង Repository ដែលបានចែកចាយជាសាធារណៈ។ អ្នកស្រាវជ្រាវថ្លែងថា នៅពេលអ្នកប្រើប្រាស់បើក Repository ពី Cursor សូម្បីតែ Simple Browsing ក៏ដោយ ក៏ Arbitrary Code អាចត្រូវបានដំណើរការនៅក្នុងមជ្ឈដ្ឋានរបស់ពួកគេដែរ។ ដំណើរការណ៍នេះត្រូវបានលាតត្រដាងនូវអត្តសញ្ញាណសម្ងាត់ កែប្រែឯកសារ ឬបម្រើជាវ៉ិចទ័រសម្រាប់ការគ្រប់គ្រងប្រព័ន្ធយ៉ាងទូលំទូលាយ។ ទោះជាយ៉ាងណា VS Code មិនរងផលប៉ះពាល់ទេ ដោយសារតែវាមិន Auto-run file នៅក្នុង Default Configuration។ ដើម្បីបង្ហាញលទ្ធផលស្វែងរករបស់ពួកគេ ក្រុមហ៊ុន Oasis Security បានចេញផ្សាយ Proof-of-concept សម្រាប់ tasks.json file ដែលប្រតិបត្តិការ Shell Command សម្រាប់ផ្ញើឈ្មោះអ្នកប្រើប្រាស់បច្ចុប្បន្ន នៅពេលបើក Project Folder នៅក្នុង Cursor។
យោងតាម Oasis Security បានឱ្យដឹងថា ហេគឃ័រដែលកេងចំណេញលើបញ្ហានេះអាចប្រតិបត្តិកូដនៅក្នុងទម្រង់ជាអ្នកប្រើប្រាស់បច្ចុប្បន្ន, លួចទិន្នន័យសម្ងាត់ (Tokens, API keys, Configuration Files) បង្កើតទំនាក់ទំនងជាមួយហេដ្ឋារចនាសម្ព័ន្ធ Command-and-control (C2) ឬបង្កើតវ៉ិចទ័រចម្លងមេរោគសម្រាប់ការវាយប្រហារខ្សែច្រវាក់ផ្គត់ផ្គង់។
Cursor មិនដោះស្រាយបញ្ហា៖ បន្ទាប់ពី Oasis Security បានជូនដំណឹងដល់ក្រុមការងារ Cursor អំពីគ្រោះថ្នាក់ Workspace Trust ដែលកំពុងតែត្រូវបានបិទដោយ Default នោះ អ្នកអភិវឌ្ឍ IDE បានថ្លែងថា ពួកគេមានបំណងរក្សាទុក Autorun នៅក្នុង Code Editor។ Cursor បានថ្លែងថា Workspace Trust បិទ AI និងមុខងារផ្សេងទៀតរបស់អ្នកប្រើប្រាស់ដែលចង់ប្រើនៅក្នុងកម្មវិធី។ ពួកគេបានណែនាំថា អ្នកប្រើប្រាស់អាចបើកមុខងារសុវត្ថិភាពពី VS Code ឬប្រើ Basic Text Editor នៅពេលធ្វើការជាមួយកូដព្យាបាទ ដែលប្រហែលជាមានបំណងអាក្រក់។ ក្រុមការងារ Cursor ក៏បានថ្លែងថា ពួកគេគួរតែធ្វើបច្ចុប្បន្នភាពការណែនាំអំពីសុវត្ថិភាពរបស់ពួកគេឱ្យបានឆាប់ដើម្បីពន្យល់អំពី Position របស់់ពួកគេនៅលើ Workspace Trust និងបន្ថែមការណែនាំអំពីរបៀបបើកវា (enable)។ Oasis Security ណែនាំអ្នកប្រើប្រាស់ឱ្យប្រើ Editor ផ្សេងសម្រាប់បើក Projects ដែលមិនស្គាល់, ផ្ទៀងផ្ទាត់ Repositories មុនពេលបើកវា និងជៀសវាង Export អត្តសញ្ញាណសំខាន់ៗនៅក្នុង Shell Profiles។ អ្នកស្រាវជ្រាវក៏ផ្តល់នូវការកំណត់ (Setting) សម្រាប់បើក Workspace Trust នៅក្នុង Cursor ផងដែរ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១០ ខែកញ្ញា ឆ្នាំ២០២៥
