Dans un contexte où la sécurité des développeurs est primordiale, des inquiétudes grandissantes émergent autour de Cursor, un nouvel éditeur de code. Selon une récente enquête menée par Oasis Security, cet outil, qui intègre des intelligences artificielles avancées comme GPT-5 et Claude, présente une faille de sécurité majeure. En effet, l’équipe derrière Cursor a choisi de désactiver par défaut une fonction de sécurité essentielle de Visual Studio Code, connue sous le nom de Workspace Trust, afin d’optimiser les performances de leur IA.
Cette décision s’avère particulièrement risquée, car elle ouvre la porte à des attaques potentielles. Le Workspace Trust, lorsqu’il est activé, protège les développeurs d’une exécution de code non autorisée dans leurs projets. Sans cette protection, un simple fichier JSON malveillant placé dans un projet GitHub peut compromettre la sécurité de la machine dès son ouverture. Par exemple, un fichier de configuration malveillant peut lancer des scripts à l’arrière-plan sans que l’utilisateur ne s’en rende compte, ce qui pourrait entraîner le vol de données sensibles ou l’exécution de code hostile.
“Jusqu’où êtes-vous prêt à sacrifier votre sécurité pour un peu plus de confort ?”
Oasis Security a démontré le risque potentiel en créant une preuve de concept qui illustre comment un fichier tasks.json contenant une simple configuration peut exfiltrer des informations sans le consentement de l’utilisateur. Cela pose la question de la responsabilité des développeurs de tels outils. En réponse aux préoccupations exprimées, l’équipe de Cursor a reconnu la faille, mais a publiquement refusé de rétablir le Workspace Trust par défaut, conseillant plutôt aux utilisateurs d’activer manuellement cette fonctionnalité ou de changer d’éditeur.
Les experts en sécurité recommandent désormais des pratiques plus rigoureuses, telles que l’ouverture de projets inconnus dans des environnements isolés, comme des machines virtuelles ou des conteneurs jetables. Cela pose la question sur la commodité et l’accessibilité, car ces solutions sont moins pratiques pour des revues de code rapides. Cette situation n’est pas sans rappeler d’autres vulnérabilités antérieures liées à Cursor, dont MCPoison et CurXecute, qui suggèrent que la sécurité n’est peut-être pas une priorité pour cette équipe.
Face à ces nouvelles, les développeurs doivent donc rester vigilants et prendre des mesures pour sécuriser leurs environnements de travail. Il est conseillé de surveiller les fichiers .vscode/tasks.json et de protéger les systèmes contre d’éventuelles intrusions. Cette situation soulève des enjeux majeurs sur le compromis entre performances technologiques et protection des données dans le monde du développement. Finalement, la question reste ouverte : jusqu’où êtes-vous prêt à sacrifier votre sécurité pour un peu plus de confort ?
