Se ha revelado una debilidad de seguridad en el cursor del editor de código de inteligencia artificial (IA) que podría activar la ejecución del código cuando se abre un repositorio de forma maliciosa utilizando el programa. El problema proviene del hecho de que una configuración de seguridad lista para usar está deshabilitada de forma predeterminada, abriendo la puerta para que los atacantes ejecutaran código arbitrario en las computadoras de los usuarios con sus privilegios. «Cursor se envía con el espacio de trabajo de Trust deshabilitado de forma predeterminada, por lo que VS Tareas de estilo de código configuradas con RunOptions. «Un malicioso .vscode/Tasks.json convierte una ‘carpeta abierta’ casual en la ejecución de código silencioso en el contexto del usuario». Cursor es una bifurcación de IA de Código Visual Studio, que admite una característica llamada Workspace Trust para permitir a los desarrolladores navegar y editar el código de forma segura, independientemente de dónde vino o quién la escribió. Con esta opción deshabilitada, un atacante puede poner a disposición un proyecto en GitHub (o cualquier plataforma) e incluir una instrucción oculta de «autorrun» que instruya al IDE a ejecutar una tarea tan pronto como se abre una carpeta, lo que hace que se ejecute el código malicioso cuando la víctima intente hornear el depósito de bocas en el depósito de cursores. «Esto tiene el potencial de filtrar credenciales confidenciales, modificar archivos o servir como un vector para un compromiso más amplio del sistema, colocando a los usuarios de cursores con un riesgo significativo de los ataques de la cadena de suministro», dijo el investigador de seguridad de Oasis Erez Schwartz. Para contrarrestar esta amenaza, se aconseja a los usuarios que habiliten la confianza del lugar de trabajo en el cursor, abran repositorios no confiables en un editor de código diferente y los auditen antes de abrirlos en la herramienta. El desarrollo se produce a medida que las inyecciones rápidas y los jailbreaks han surgido como una amenaza sigilosa y sistémica que afecta a agentes de codificación y razonamiento con AI como Claude Code, Cline, K2 Think y Windsurf, lo que permite a los actores de amenaza integrar instrucciones maliciosas de manera astuta para engañar a los sistemas en acciones de rendimiento o filtración de datos de los entornos de desarrollo de software. El equipo de seguridad de la cadena de suministro de software, CheckMarx, en un informe la semana pasada, reveló cómo las revisiones de seguridad automatizadas recién introducidas de Anthrope en el código Claude podrían exponer los proyectos de manera inadvertida a los riesgos de seguridad, incluida la instrucción de que ignore el código vulnerable a través de inyecciones rápidas, lo que hace que los desarrolladores impulsen las revisiones de seguridad del código malicioso o inseguro. «En este caso, un comentario cuidadosamente escrito puede convencer a Claude de que incluso el código claramente peligroso es completamente seguro», dijo la compañía. «El resultado final: un desarrollador, ya sea malicioso o simplemente tratando de cerrar Claude, puede engañar fácilmente a Claude para que piense que una vulnerabilidad es segura». Otro problema es que el proceso de inspección de la IA también genera y ejecuta casos de prueba, lo que podría conducir a un escenario en el que el código malicioso se ejecuta contra las bases de datos de producción si el código Claude no se sencilla correctamente. La compañía de IA, que también lanzó recientemente una nueva función de creación y edición de archivos en Claude, advirtió que la característica conlleva riesgos de inyección rápidos debido a que se ejecuta en un «entorno informático de arena con acceso limitado a Internet». Específicamente, es posible que un actor malo sea «discretamente» agregue instrucciones a través de archivos o sitios web externos, también conocidos como inyección indirecta de inmediato, que engañan al chatbot para que descargue y ejecute código no confiable o lean datos confidenciales de una fuente de conocimiento conectada a través del protocolo de contexto del modelo (MCP). «Esto significa que Claude puede ser engañado para enviar información de su contexto (por ejemplo, indicaciones, proyectos, datos a través de MCP, Google Integrations) a terceros maliciosos», dijo Anthrope. «Para mitigar estos riesgos, le recomendamos que monitoree a Claude mientras usa la función y la detiene si la ve usando o acceder a datos inesperadamente». Eso no es todo. A fines del mes pasado, la compañía también reveló modelos de IA que usan el navegador como Claude for Chrome puede enfrentar ataques de inyección inmediata, y que ha implementado varias defensas para abordar la amenaza y reducir la tasa de éxito de ataque de 23.6% a 11.2%. «Las nuevas formas de ataques de inyección inmediatos también están siendo desarrolladas constantemente por actores maliciosos», agregó. «Al descubrir ejemplos del mundo real de comportamiento inseguro y nuevos patrones de ataque que no están presentes en las pruebas controladas, enseñaremos a nuestros modelos a reconocer los ataques y explicar los comportamientos relacionados, y aseguraremos que los clasificadores de seguridad elijan cualquier cosa que el modelo mismo pierda». Al mismo tiempo, estas herramientas también se han encontrado susceptibles a las vulnerabilidades de seguridad tradicionales, ampliando la superficie de ataque con un impacto potencial del mundo real: un bypass de autenticación de WebSocket en Claude Code IDE Extensions (CVE-2025-52882, CVSS Score: 8.8) que podría haber permitido que un atacante de los atacantes de un victim que no se conecte a un víctima de un víctima sea un servidor a la redentada de un víctima a un atacante a los que les visitará un sitio web. Ejecución Una vulnerabilidad de inyección de SQL en el servidor MCP de Postgres que podría haber permitido a un atacante evitar la restricción de solo lectura y ejecutar declaraciones arbitrarias de SQL una vulnerabilidad transversal de ruta en Microsoft NLWEB que podría haber permitido a un atacante remoto leer archivos sensibles, incluidas las configuraciones del sistema («/etc//credenciales de la nube (. Vulnerabilidad de autorización incorrecta en adorable (CVE-2025-48757, puntaje CVSS: 9.3) que podría haber permitido a los atacantes no autenticados remotos leer o escribir en tablas de base de datos arbitrarias de la base de datos de los sitios generados. workspace, harvest API keys, inject malicious logic into user-generated applications, and exfiltrate data A vulnerability in Ollama Desktop arising as a result of incomplete cross-origin controls that could have allowed an attacker to stage a drive-by attack, where visiting a malicious website can reconfigure the application’s settings to intercept chats and even alter responses using poisoned models «As AI-driven development accelerates, Las amenazas más apremiantes a menudo no son ataques de IA exóticos, sino fallas en los controles de seguridad clásicos «, dijo Imperva. «Para proteger el creciente ecosistema de las plataformas de ‘codificación de ambientes’, la seguridad debe tratarse como una base, no como una ocurrencia tardía».