
Speravo che il prossimo grande problema della nostra community fosse l’impossibilità di far funzionare correttamente le dipendenze su Python o un altro bug assurdo di Docker, e invece ci troviamo di fronte a una vulnerabilità che trasforma il nostro ambiente di sviluppo in un parco giochi per malware.
Se usate Cursor – quell’IDE basato su AI che sta facendo impazzire tutti (e che probabilmente sta leggendo i vostri commenti più privati per addestrare i suoi modelli) – preparatevi a un piccolo momento di riflessione sulla sicurezza. È emersato un zero-day che è, in parole povere, una genialata di pigrizia lato sviluppo. Il meccanismo è questo: quando caricate un progetto, Cursor prova a cercare i binari di git in vari posti, incluso la root del workspace corrente. Se un malintenzionato riesce a farvi clonare o scaricare un repository che contiene un file ‘git.exe’ truccato, l’IDE lo eseguirà. E non lo farà una volta sola, ma con una cadenza regolare, senza nemmeno chiedervi: «Ehi, ma sei sicuro che questo file sia quello giusto?».
Senza alcuna interazione dell’utente, senza popup di conferma, senza quel pizzico di sano scetticismo che ci ha insegnato la vita da hacker. È come se invitassi un tizio a cena e lui, invece di sedersi a tavola, decidesse di andare direttamente in salotto a resettare la password del tuo router.
La cosa che mi fa ribollire il sangue non è solo la vulnerabilità in sé, ma la facilità con cui si può bypassare il buon senso. Siamo abituati a fidarci degli strumenti che usiamo ogni giorno, sperando che almeno la ricerca dei binari segua dei percorsi sicuri e standardizzati. Invece, qui siamo di fronte a un meccanismo che premia il caos. È un classico esempio di quando si cerca di rendere l’esperienza utente ‘fluida’ e ‘magica’ (le parole preferite dai dipartimenti marketing che non hanno mai scritto una riga di codice) sacrificando però i fondamentali della sicurezza.
Per fortuna, non siamo in un ufficio di San Francisco dove tutto è ‘move fast and break things’. Qui in Italia, dove la consapevolezza del rischio è spesso un po’ più pragmatica (o più cinica), sappiamo che la fiducia cieca è il primo passo verso il disastro. Se state lavorando su progetti sospetti o state testando repository poco noti, fate attenzione. Controllate cosa c’è nella root del vostro workspace e, se potete, non fatevi cullare troppo dall’hype della ‘AI-powered coding experience’ se questa non sa nemmeno distinguere un binario legittimo da un cavallo di Troia.
In breve: non è la fine del mondo, ma è un promemoria brutale che il nostro ambiente di sviluppo è solo un altro vettore d’attacco. Tenete gli occhi aperti e, se possibile, fate una pulizia profonda dei vostri tool preferiti.
Source: Cursor 0day: When Full Disclosure Becomes the Only Protection Left
