Waspada Kredensial Bocor di Cursor

Waspada Kredensial Bocor di Cursor – Sebuah kerentanan kontrol akses dengan tingkat keparahan tinggi (CVSS 8.2) baru saja ditemukan pada Cursor, lingkungan pemrograman berbasis AI yang populer.

Celah keamanan ini memungkinkan ekstensi apa pun yang terpasang untuk mengakses kunci API dan token sesi pengembang secara rahasia.

Temuan dari tim peneliti LayerX mengungkapkan bahwa kompromi kredensial ini dapat terjadi secara total tanpa memicu peringatan apa pun atau memerlukan interaksi dari pengguna.

Masalah utama terletak pada cara Cursor menyimpan data sensitifnya; alih-alih menggunakan sistem penyimpanan aman seperti Keychain pada sistem operasi, Cursor menyimpan kredensial tersebut dalam basis data SQLite lokal yang tidak terlindungi.

Tanpa Batasan Akses

Basis data yang mengandung rahasia tersebut terletak di jalur direktori ~/Library/Application Support/Cursor/User/globalStorage/state.vscdb.

Karena Cursor tidak memiliki batasan kontrol akses antara ekstensi dengan basis data ini, ekstensi apa pun yang terpasang dapat membaca file tersebut secara bebas.

Eksploitasi ini tidak memerlukan hak istimewa khusus (special privileges), sehingga add-on jahat dapat mengekstrak data teks biasa (plaintext) di dalamnya dengan mudah. Skenario serangan yang mungkin terjadi adalah sebagai berikut:

• Publikasi Ekstensi: Penyerang menerbitkan ekstensi yang tampak normal, seperti tema khusus atau alat produktivitas.
• Instalasi Tanpa Peringatan: Pengembang memasang ekstensi tersebut tanpa menerima peringatan izin apa pun terkait akses kredensial.
• Pencurian Diam-diam: Ekstensi jahat secara senyap melakukan kueri ke basis data SQLite lokal untuk menemukan kunci API dan token sesi.
• Eksfiltrasi Data: Data yang dicuri dikirim ke server jarak jauh milik penyerang tanpa ada perubahan antarmuka yang terlihat oleh pengguna.

Mengingat banyak pengembang menggunakan layanan AI pihak ketiga di dalam Cursor, dampak dari kerentanan ini bisa sangat parah.

Mulai dari paparan akun AI (OpenAI, Google, atau Anthropic) hingga kerugian finansial akibat penggunaan kunci API yang dicuri oleh penyerang secara otomatis.

Status Vendor dan Respons

Masalah ini pertama kali dilaporkan ke pihak Cursor pada 1 Februari 2026. Tim keamanan Cursor mengakui laporan tersebut pada 5 Februari.

Namun menyatakan bahwa ekstensi beroperasi dalam batas kepercayaan lokal yang sama dengan pengguna. Mereka berargumen bahwa aplikasi lokal apa pun dengan akses sistem file berpotensi membaca data tersebut.

Hingga 28 April 2026, kerentanan ini tetap belum diperbaiki. Pihak vendor mempertahankan posisi bahwa adalah tanggung jawab pengguna untuk hanya menginstal ekstensi yang tepercaya.

Sementara itu, para pakar keamanan menyarankan agar Cursor segera menerapkan isolasi ketat antar ekstensi dan memindahkan penyimpanan kredensial ke tingkat sistem yang terenkripsi.

Langkah Penjagaan bagi Pengembang

Selama perbaikan struktural belum dirilis oleh vendor, para pengembang yang menggunakan Cursor perlu memperketat pengamanan lingkungan kerja mereka:

1. Audit Ekstensi Secara Ketat: Tinjau kembali semua ekstensi yang telah terpasang. Hapus alat yang tidak diverifikasi atau jarang digunakan dari marketplace.
2. Hindari Ekstensi Tidak Dikenal: Jangan mengunduh tema atau alat produktivitas baru yang belum memiliki reputasi jelas atau jumlah pengguna yang meyakinkan.
3. Monitor Penggunaan API: Periksa secara rutin penggunaan kuota pada akun layanan AI seperti OpenAI atau Anthropic untuk mendeteksi adanya aktivitas penggunaan yang tidak wajar.
4. Rotasi Kunci API: Jika Anda mencurigai adanya aktivitas aneh, segera cabut kunci API yang lama dan buat kunci baru setelah membersihkan lingkungan pengembangan Anda.

Mengelola Keamanan “Local Trust”

Kasus Cursor menjadi pengingat bahwa kemudahan yang ditawarkan oleh alat pemrograman berbasis AI sering kali membawa risiko keamanan bawaan jika tidak diiringi dengan arsitektur penyimpanan data yang aman.

Bergantung pada kebijakan “kepercayaan lokal” di tahun 2026 adalah langkah yang sangat berisiko bagi pengembang. Keamanan siber yang efektif dimulai dari ketelitian dalam memilih alat bantu kerja dan kesadaran bahwa kredensial yang disimpan secara lokal bisa menjadi target termudah bagi serangan yang paling sederhana sekalipun.

Baca juga: 

• Kloning Suara AI Ancaman Nyata bagi Tim Keuangan
• Kloning Suara AI Ancaman Nyata Tim Keuangan
• Jebakan Nyaman Keamanan Siber
• Peretas yang Sembunyi di Draf Outlook
• Geng Trigona Pencuri Data Presisi
• Awas! Staf TI Palsu di Microsoft Teams
• Caller as a Service Industrialisasi Penipuan Telepon
• 109 Repositori GitHub Palsu Penyebar Malware
• Taktik Enkripsi Lintas Platform Ransomware Kyber
• Melawan Serangan Deepfake dan Penipuan GenAI

Sumber berita:

Prosperita IT News