Cursor AI拡張機能の脆弱性がデベロッパートークンを認証情報盗難に晒す
LayerXのセキュリティ研究者は、人気のあるAI搭載開発環境Cursorの重大な脆弱性を発見しました。「CursorJacking」と名付けられたこの欠陥はCVSSスコア8.2を持ち、開発者を直接的な認証情報盗難にさらします。インストールされたあらゆる拡張機能は、特別な権限やユーザー操作を必要とせずに、ユーザーのA
LayerXのセキュリティ研究者は、人気のあるAI搭載開発環境Cursorの重大な脆弱性を発見しました。「CursorJacking」と名付けられたこの欠陥はCVSSスコア8.2を持ち、開発者を直接的な認証情報盗難にさらします。インストールされたあらゆる拡張機能は、特別な権限やユーザー操作を必要とせずに、ユーザーのA
エージェンティックLLMブラウザのプロンプトインジェクションとデータ盗難のリスクは、日常的なウェブバグを完全なセッション侵害パスに変えており、攻撃者がAIエージェントをハイジャックし、大規模に機密データを静かに抜き出すことを可能にしています。 Perplexity CometなどのエージェンティックブラウザがOpen
108個の悪意のあるChromeアドオンを含む大規模キャンペーンが発覚し、約20,000人のユーザーに影響を与えています。 ゲーム、ソーシャルメディアツール、翻訳ユーティリティなどのカテゴリに広がるこれらのアドオンは、正当なものに見えますが、秘密裏に機密データを収集しています。すべてが単一のコマンド・アンド・コントロー
要約: Open VSXの新しい事前公開スキャンパイプラインにはフェイルオープ...
脅威行為者は最初はクリーンな拡張機能を公開した後、隠しペイロードパッケージへの依...
前回のブログ記事「1/6 | 偽のVSCode拡張機能で数十億ドル企業を30分でハッキングした方法」では、わずか30分の作業で作成したVisual Studio Code拡張機能が、世界最大級のセキュリティ企業を含む複数の時価総額数十億ドル規模の企業や、ある国の司法裁判所ネットワーク内にインストールされていたことを確認
セキュリティ業界で働いている方で、まだお読みでない方がいらっしゃれば、ぜひ数週間前に私たちが発表した「偽のVSCode拡張機能を使い30分で数十億ドル規模の企業をハッキングした方法」という研究をお読みください。この研究を発表してから数週間、まさに激動の日々でした。ここでは、この間に寄せられた興味深い反響やエピソード、数
要約:私たちは、open-vsx.org(Cursor、Windsurf、VSCodiumなど人気のVSCodeフォークが採用するオープンソースのVS Code拡張機能マーケットプレイス)に重大な脆弱性を発見しました。このマーケットプレイスは1,000万人以上の開発者に利用されています。本脆弱性を悪用すると、マーケット