anonym.legal
Terug na BlogKI-sekuriteit

Cursor + Claude: Wat Ontwikkelaars moet Weet oor...

Cursor, 'n VS-geboude IDE, stuur kode na Anthropic-bedieners. Paai-sleutels, API-kaarte en Git-geloofsbriewe het hoë eksfiltrasierisiko.

April 5, 20269 min lees
Cursor AI securitydeveloper credential leakMCP Server protectionClaude Code securitycodebase privacy

Die Cursor-Opvatting

Cursor, 'n IDE (Geïntegreerde Ontwikkelings-Omgewing) gebou op VS-Kode met Claude-integrasie, het sedert Augustus 2024 Miljoen Gebruikers bereik. Dit is Nie Kwaad nie — dit is Nuttig. Maar Dit Skep 'n Skaadingsvektor.

Hoe Cursor Werk

  1. Jy skryf Kode in Cursor
  2. Jy vra Claude (via Cursor-UI) vir Hulp
  3. Cursor stuur Die Hele Lêer-Konteks na Anthropic-bedieners
  4. Anthropic se Claude gee Antwoord
  5. Cursor stoor Die Sessie-Inhoud (met Samehangende Konteks) Lokaal

Die Risiko

Lêer-konteks = Alles in Die Lêer-gaping. Byvoorbeeld:

// .env (oops)
DATABASE_URL=postgresql://user:password@db.company.com:5432/prod
OPENAI_API_KEY=sk-proj-...
GIT_PRIVATE_KEY=-----BEGIN RSA PRIVATE KEY-----

Jy vra Claude: "Waarom Werk Die Funksie nie?"

Cursor stuur Die Hele Lêer — In Die Promplf

Die Promplf bevat:

  • Die .env-bestand
  • Git-geheime
  • Database-verbindings

Anthropie se Bedieners neem Die Inhoud op. Dit bly 30 dae in Anthropic se Logs (standaard). Dit word Nooit Verslaan nie, maar Dit is Daar.

Die Skaadingsgevalletjies

Scenario 1: Die Kwaai Anthropic-Werknemer

Anthropie het ~ 500 Werknemers. Eén Werknemer het Toegang tot Logs. Hulle Sien Die .env-lêer. Hulle Voer Die Database-wachtwoord in. Die Company is Gebreek.

Iewat geval? Brei dit op Forens Waarskynliks uit.

Scenario 2: Die Antropiese-Datalekking

Anthropie se Systems wordt Gehack (onwaarskynlik, Maar Moontlik). Alle Sessie-Logs — inclusief Jou .env — vloei Uit. Paai-Sleutels = Weg.

Scenario 3: Die Juridieke Ondersoek

Anthropie ontvang 'n Regsgoue van Die FBI vir 'n Ondersoek. Hulle stuur Alle Logs na Die FBI. Die Logs bevat Jou Database-wachtwoord. Die Regshouer stuur Dit aan Die Ondersoeks-Agent. Dit is nie 'n Skaadingsberede nie — dit is Staande Wettig.

Die Reparasie: 4-Laag-Verdediging

Laag 1: Nooit .env-lêers in Cursor Stuur nie

Breakdown:

  1. Bou 'n Dummy .env-bestand met Vals-Waardes
  2. Voeg Die Ware .env by .gitignore
  3. Voeg Die Ware .env by Cursor se gitignore

Laag 2: Nooit Paai-Sleutels in Lêer-Konteks Stuur nie

Breakdown:

  1. Laad Paai-Sleutels uit Omgewingsveranderlikes, nie Lêers
  2. Vra Claude Slegs Oor Die Kode, nie Die Sekrete

Laag 3: Cursor se Secrets-Bestuur Gebruik

Cursor het 'n Ingebou Stelsel:

  1. cmd + shift + p → "Secrets: Voeg Geheim Toe"
  2. Definieer: OPENAI_API_KEY
  3. Cursor Laai Dit van Antropiese Tokenvault, nie van Lêers

Laag 4: Anthropic se Geheims-Beskerming Verstaan

Anthropic het:

  1. 30-Dae-Logs Beperk
  2. Sessiebesprekinge Masker (Enkripsie op Res)
  3. HIPAA/SOC-2 Naleef

Maar Niks van Dit Beskerm Jou Paai-Sleutel as Dit in Die Promplf is nie.

Sleutelleering: IDE-s is Groot Gevaarkaarte

Takeaway: Cursor + Claude is Nuttig. Maar Nooit Stuur Sekrete nie.

Verwante Artikels

KI-sekuriteit

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

KI-sekuriteit

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

KI-sekuriteit

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke