整合Chromium與Node.js的開源應用程式框架Electron,讓開發者能夠使用JavaScript、HTML和CSS打造跨平臺的應用程式,然而若是開發者後續維護並未跟進使用新版Electron,就有可能讓應用程式曝露在已知漏洞帶來的資安風險。
例如,最近資安業者OX Security針對以AI為基礎的整合式開發環境(IDE)Cursor及Windsurf進行分析,結果發現開發商都以過時版本Visual Studio Code(VS Code)進行開發,而舊版VS Code因為搭配舊版Electron,使得這些AI開發工具本身內含舊版Chromium及V8引擎多達94個已知資安弱點,使得採用這兩款IDE的180萬用戶,將面臨相關資安風險。
對此,OX Security在10月12日向兩家開發商通報,Cursor承認通報的內容,但認為這樣的情況已經超出他們能夠處理的範圍;Windsurf並未回應此事。
為了驗證這樣的問題,OX Security利用Google已經在今年7月於Chromium修補的資安漏洞CVE-2025-7656,對Cursor發動攻擊,並導致這些IDE出現阻斷服務(DoS)的現象。他們透過引誘受害者點選深層連結(deeplink)的方式進行,此功能可讓用戶與他人共用提示(prompt)及命令。
當用戶依照指示開啟連結,Cursor就會執行提示的內容,藉由Simple Browser瀏覽代管有效酬載的遠端網站。OX Security提及,由於有效酬載並未嵌入提示當中,因此無法掃描提示內容來察覺異常。
OX Security強調,他們的概念驗證雖然會讓Cursor當機,但是也同樣會造成底層記憶體損毀的問題,實際上攻擊者可用來遠端執行任何的程式碼。再者,還有其他93個漏洞也可能被利用,因此他們認為,這樣的問題非常嚴重。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15