SchwachstellenKI-SicherheitHackerangriffe

Kritische Sicherheitslücke in Cursor AI: Entwickler-Rechner konnten vollständig übernommen werden

Kritische Sicherheitslücke in Cursor AI: Entwickler-Rechner konnten vollständig übernommen werden
Zusammenfassung

In der KI-Entwicklung hat das Cybersicherheitsunternehmen Straiker eine kritische Sicherheitslücke in Cursor AI entdeckt, die Entwickler-Rechner massiv gefährden könnte. Die sogenannte „NomShub"-Schwachstelle kombiniert mehrere Angriffsvektoren: eine indirekte Prompt-Injection in KI-Coding-Agenten, einen Sandbox-Bypass und den Missbrauch von Cursors Remote-Tunnel-Funktion. Das besonders Bedrohliche: Der Angriff erfordert keine Nutzerinteraktion außer dem bloßen Öffnen eines manipulierten Code-Repositorys. Attackierende könnten versteckte Anweisungen in Dateien wie README.md platzieren, die von Cursors KI-Agent automatisch ausgeführt werden. Dadurch erhielten sie potenziell vollständigen Dateisystem- und Kommandozugriff, insbesondere auf macOS-Systemen, wo Cursor ohne Sandbox-Beschränkungen läuft. Für deutsche Entwickler, Softwareunternehmen und Tech-Behörden ist dies besonders relevant, da Cursor zunehmend in der Entwicklung eingesetzt wird. Die Lücke ermöglichte persistenten Remote-Zugriff durch GitHub-Authentifizierung – und war praktisch nicht auf Netzwerk-Ebene zu erkennen. Cursor hat das Problem in Version 3.0 behoben, doch zeigt der Fall grundlegende Risiken autonomer KI-Systeme mit Systembefugnissen auf.

Die Anfälligkeit in Cursor AI verdeutlicht eine neue Klasse von Cybersicherheitsrisiken, die entstehen, wenn intelligente Agenten auf Systemressourcen zugreifen können. Straiker identifizierte die Schwachstelle im Januar und benachrichtigte Cursor im Februar – ein Patch folgte zeitnah mit Version 3.0.

Die Angriffskette funktioniert nach einem raffinierten Schema: Ein Angreifer versteckt manipulierte Anweisungen in der README.md-Datei eines bösartigen Repositories. Öffnet ein Entwickler dieses Repository in Cursor, liest der KI-Agent die README-Datei und folgt den eingespritzten Instruktionen automatisch. Der AI-Agent führt dann gezielt eine Sandbox-Umgehung durch – ein kritischer Punkt bei der Sicherheitsarchitektur.

Die Sicherheitsforscher identifizierten die Schwachstelle in Cursors Schutzmaßnahmen gegen Shell-Befehle. Das System blockierte zwar direkte Shell-Kommandos, übersah aber Shell-interne Befehle (builtins). Diese Lücke ermöglichte es Angreifern, Arbeitsverzeichnisse zu wechseln und Shell-Umgebungsvariablen zu manipulieren. Auf macOS konnte der Angreifer die Datei .zshenv überschreiben – ein entscheidender Punkt, denn diese wird von jeder neuen Zsh-Shell ausgeführt, einschließlich Terminal-Fenster und Anwendungs-Shells.

Der Kern des Angriffs liegt in der Ausnutzung von Cursors integrierten Tunnel-Funktion. Nach der Sandbox-Umgehung instruiert der KI-Agent den Entwickler-Rechner, einen Device-Code zu generieren und an den Angreifer zu übermitteln. Mit diesem Code autorisiert sich ein GitHub-Account des Angreifers über den Tunnel und erhält persistenten Zugriff auf das System – solange der Prozess läuft und die Tunnel-Registrierung aktiv bleibt.

Besonders kritisch: Auf macOS läuft Cursor ohne Sandbox-Beschränkungen, was Angreifern vollen Dateisystem-Zugriff ermöglicht. Darüber hinaus ist die Erkennung solcher Angriffe auf Netzwerk-Ebene praktisch unmöglich, da der gesamte Traffic über Microsofts Azure-Infrastruktur geleitet wird.

Die Entdeckung unterstreicht ein grundsätzliches Problem autonomer KI-Systeme in Entwicklerumgebungen: Je mehr Zugriff und Autonomie solche Agenten erhalten, desto größer wird das Sicherheitsrisiko bei unzureichenden Kontrollen. Für deutsche Entwickler und Unternehmen sollte dies ein Weckruf sein, KI-Tools kritisch zu bewerten und Sicherheitsupdates zeitnah einzuspielen.

Ähnliche Artikel