安全研究人员披露，人工智能驱动的代码编辑器 Cursor 存在一项漏洞，当打开恶意构造的代码仓库时，可能触发 代码执行。

该问题的根源在于，Cursor 的默认安全设置 Workspace Trust（工作区信任） 默认处于关闭状态，使攻击者能够以用户权限在其计算机上执行任意代码。

Oasis Security 在分析中指出：“Cursor 默认关闭 Workspace Trust，因此类似 VS Code 的任务（配置为 runOptions.runOn: 'folderOpen'）会在开发者浏览项目时自动执行。恶意的 .vscode/tasks.json 文件会将一次普通的‘打开文件夹’操作转变为在用户上下文中静默执行代码。”

Cursor 是 Visual Studio Code 的 AI 分支，支持 Workspace Trust 功能，使开发者可以安全浏览和编辑代码，无论代码来源或作者是谁。

当该选项关闭时，攻击者可以在 GitHub 或其他平台提供一个项目，并包含隐藏的“自动运行”指令，一旦打开文件夹，IDE 就会执行任务，从而在受害者浏览受陷害仓库时执行恶意代码。

Oasis Security 研究员 Erez Schwartz 表示：“该漏洞可能导致敏感凭据泄露、文件被篡改，甚至成为更广泛系统入侵的途径，使 Cursor 用户面临显著的供应链攻击风险。”

为防范此类威胁，建议用户：

在 Cursor 中启用 Workspace Trust

在其他代码编辑器中打开不受信任的仓库

在导入 Cursor 前对仓库进行审计

这一事态发生之际，提示注入（prompt injections） 和 越狱（jailbreaks） 已成为困扰 AI 驱动的编码与推理代理（如 Claude Code、Cline、K2 Think 和 Windsurf）的隐蔽性系统性威胁。攻击者可通过巧妙方式嵌入恶意指令，诱使系统执行恶意操作或泄露软件开发环境中的数据。

软件供应链安全公司 Checkmarx 在上周的报告中指出，Anthropic 新推出的 Claude Code 自动安全审查功能 可能无意中将项目暴露于安全风险中。例如，攻击者可通过提示注入指令让 Claude 忽略存在漏洞的代码，从而使开发者将恶意或不安全的代码推过安全审查。

该公司表示：“在这种情况下，一条精心撰写的注释可能让 Claude 认为即便明显危险的代码也是完全安全的。最终结果是：开发者——无论是恶意还是仅仅想让 Claude ‘闭嘴’——都可以轻易欺骗 Claude 认为漏洞是安全的。”

另一个问题是，AI 审查过程中还会生成并执行测试用例，如果 Claude Code 没有适当的沙箱保护，这可能导致恶意代码在生产数据库上被执行。

这家 AI 公司最近在 Claude 中推出了新的文件创建和编辑功能，但警告称该功能存在 提示注入（prompt injection）风险，因为它运行在“受限互联网访问的沙箱计算环境”中。

具体来说，攻击者可能通过外部文件或网站——即间接提示注入——悄无声息地添加指令，诱使聊天机器人下载和执行不受信任的代码，或从通过 Model Context Protocol（MCP） 连接的知识源中读取敏感数据。

Anthropic 表示：“这意味着 Claude 可能被诱导将其上下文中的信息（例如提示、项目、通过 MCP 或 Google 集成的数据）发送给恶意第三方。为降低风险，我们建议在使用该功能时监控 Claude，并在发现其意外使用或访问数据时立即停止操作。”

不仅如此，上个月晚些时候，该公司还披露，使用浏览器的 AI 模型（如 Claude for Chrome）也可能遭受提示注入攻击。为应对这一威胁，公司已实施多项防御措施，将攻击成功率从 23.6% 降至 11.2%。

Anthropic 补充道：“恶意行为者不断开发新的提示注入攻击形式。通过发现现实环境中不安全行为和控制测试中不存在的新攻击模式，我们将训练模型识别这些攻击并应对相关行为，确保安全分类器能捕捉到模型本身未能检测到的内容。”

与此同时，这些工具也被发现容易受到传统安全漏洞的影响，从而扩大了攻击面，并可能产生现实世界的影响：

Claude Code IDE 扩展的 WebSocket 身份验证绕过（CVE-2025-52882，CVSS 评分：8.8）：攻击者可通过诱导受害者访问其控制的网站，连接受害者未认证的本地 WebSocket 服务器，从而实现远程命令执行。

Postgres MCP 服务器的 SQL 注入漏洞：攻击者可能绕过只读限制，执行任意 SQL 语句。

Microsoft NLWeb 的路径遍历漏洞：远程攻击者可通过特制 URL 读取敏感文件，包括系统配置（如 /etc/passwd）和云凭据（如 .env 文件）。

Lovable 的授权错误漏洞（CVE-2025-48757，CVSS 评分：9.3）：远程未认证攻击者可能读取或写入生成站点的任意数据库表。

Base44 的开放重定向、存储型 XSS 及敏感数据泄露漏洞：攻击者可访问受害者的应用和开发工作区，收集 API 密钥，在用户生成的应用中注入恶意逻辑，并窃取数据。

Ollama Desktop 的跨源控制不完整漏洞：攻击者可发起驱动型攻击（drive-by attack），访问恶意网站即可重新配置应用设置，截取聊天内容，甚至利用被污染的模型篡改响应。

Imperva 表示：“随着 AI 驱动开发的加速，最紧迫的威胁往往不是新奇的 AI 攻击，而是经典安全控制的失效。为了保护不断扩展的 ‘vibe coding’ 平台生态，安全必须被视为基础，而非事后考虑。”

网络安全研究人员披露了 Vanna.AI 库中的一个高严重性安全漏洞，该漏洞可被利用通过提示注入技术实现远程代码执行漏洞。

供应链安全公司 JFrog表示，该漏洞的编号为 CVE-2024-5565（CVSS 评分：8.1），与“ask”函数中的提示注入有关，可被利用来诱骗库执行任意命令。

Vanna 是一个基于 Python 的机器学习库，允许用户与他们的 SQL 数据库聊天以通过“只需提出问题”（又名提示）来收集见解，然后使用大型语言模型（LLM）将其转换为等效的 SQL 查询。

近年来，生成式人工智能 (AI) 模型的快速推出凸显了其被恶意行为者利用的风险，他们可以通过提供绕过内置安全机制的对抗性输入将这些工具武器化。

其中一类突出的攻击是即时注入，它指的是一种人工智能越狱，可用于无视 LLM 提供商为防止产生攻击性、有害或非法内容而建立的护栏，或执行违反应用程序预期目的的指令。

此类攻击可以是间接的，其中系统处理由第三方控制的数据（例如，传入的电子邮件或可编辑文档）以启动导致 AI 越狱的恶意负载。

他们还可以采取所谓的多次越狱或多回合越狱（又名 Crescendo）的形式，其中操作员“从无害的对话开始，逐步将对话引向预期的、禁止的目标”。

这种方法可以进一步扩展，以实施另一种称为“Skeleton Key”的新型越狱攻击。

微软 Azure 首席技术官 Mark Russinovich表示：“这种 AI 越狱技术采用多轮（或多步骤）策略，使模型忽略其护栏。一旦忽略护栏，模型将无法确定来自任何其他人的恶意或未经批准的请求。”

Skeleton Key 与 Crescendo 的不同之处还在于，一旦越狱成功，系统规则发生改变，模型就可以对原本被禁止的问题做出回应，而不管其中的道德和安全风险。

“当 Skeleton Key 越狱成功时，模型就承认它已经更新了指南，随后将遵守指令来生成任何内容，无论它如何违反其原始负责任的 AI 指南，”Russinovich 说。

“与 Crescendo 等其他越狱不同，Skeleton Key 将模型置于用户可以直接请求任务的模式，而 Crescendo 等其他越狱必须间接或通过编码向模型询问任务。此外，模型的输出似乎完全未经过滤，并揭示了模型的知识范围或生成请求内容的能力。”

JFrog 的最新发现（同样由刘彤独立披露）表明，快速注入可能会产生严重影响，特别是当它们与命令执行相关时。

CVE-2024-5565 利用 Vanna 促进文本到 SQL 生成的事实来创建 SQL 查询，然后使用 Plotly 图形库执行这些查询并以图形方式呈现给用户。

这是通过“ask”函数实现的- 例如，vn.ask（“按销售额排名前 10 位的客户有哪些？”） - 这是允许生成在数据库上运行的 SQL 查询的主要 API 端点之一。

上述行为加上 Plotly 代码的动态生成，产生了一个安全漏洞，允许威胁行为者提交嵌入要在底层系统上执行的命令的特制提示。

JFrog表示：“Vanna 库使用提示函数向用户呈现可视化结果，可以使用提示注入来改变提示并运行任意 Python 代码而不是预期的可视化代码。”

“具体来说，允许将外部输入输入到库的‘ask’方法并将‘visualize’设置为 True（默认行为）会导致远程代码执行。”

在负责任地披露之后，Vanna 发布了一份强化指南，警告用户 Plotly 集成可用于生成任意 Python 代码，并且暴露此功能的用户应在沙盒环境中执行此操作。

JFrog 安全研究高级主管 Shachar Menashe 在一份声明中表示：“这一发现表明，如果没有适当的治理和安全保障，广泛使用 GenAI/LLM 的风险可能会对组织产生严重影响。”

“预提示注入的危险性仍未得到广泛了解，但很容易实施。公司不应依赖预提示作为万无一失的防御机制，在将 LLM 与数据库或动态代码生成等关键资源连接时，应采用更强大的机制。”