最近，一项关于流行的macOS代码编辑器Cursor的严重安全漏洞的消息引起了网络安全界的广泛关注。这个漏洞使得恶意软件能够越过Apple内置的隐私保护，未经授权访问用户的敏感数据。这一情况不仅令用户面临着信息泄露的风险，也暴露了当前网络安全防护措施的薄弱环节。

该安全漏洞主要源于Cursor应用程序中Electron框架的配置错误，尤其是启用了RunAsNode fuse的设定，这使得攻击者能够利用应用程序已有的隐私权限执行任意代码。根据安全研究者的调查，这一安全缺陷对Apple为保护macOS系统用户隐私而实施的透明性、同意与控制（TCC）框架构成了重大威胁。TCC作为关键的保护机制，控制着应用程序对包括文件夹（如文档、下载和桌面）及硬件组件（如相机和麦克风）等敏感资源的访问。

通常情况下，应用程序必须通过系统提示明确请求用户的许可，才能访问这些受保护的资产。然而，在这次事件中，Afine安全研究团队通过对第三方macOS应用程序TCC绕过技术的研究，揭露了这一漏洞。尽管这些研究人员已向Cursor的开发团队负责任地披露了该漏洞，但开发方却表示这一问题“超出了他们的威胁模型范围”，并未计划对此进行修补。这一冷漠的回应促使公众披露该漏洞，以确保用户在继续使用该应用程序时能够作出知情的安全决策。

这一漏洞的影响远不止于简单的数据访问，因为它有效动摇了macOS的基本安全屏障。当恶意软件成功利用这一缺陷时，它可以静默继承Cursor的TCC权限，从而访问用户的敏感文档、捕获屏幕截图、通过麦克风录音，甚至在不触发传统隐私同意机制的情况下激活摄像头。这种攻击的情境包括完全静默的攻击，无需用户交互，或者通过社会工程学的手段伪装成合法的应用功能来诱导用户随意授权。

不容忽视的是，Cursor近年来在开发者中日益受欢迎，并与AI驱动的开发工作流程相结合，这使得它成为攻击者寻求侵犯开发环境及潜在地将恶意代码注入软件项目的理想目标。

技术层面上，该漏洞源自Cursor作为Electron应用程序的配置，启用了RunAsNode fuse的设定，允许应用程序作为常规的Node.js进程运行。安全分析显示，通过命令npx @electron/fuses read --app "/Applications/Cursor.app/Contents/MacOS/Cursor"可以验证这一配置，从而揭示“RunAsNode已启用”。攻击者可以通过创建恶意的Launch Agent配置，利用ELECTRON_RUN_AS_NODE环境变量来利用这一配置。例如，恶意软件可以通过在用户的~/Library/LaunchAgents/目录中植入特别制作的plist文件，执行Cursor的二进制文件。具体来说，Launch Agent可执行如下命令：/Applications/Cursor.app/Contents/MacOS/Cursor -e require('child_process').execSync('ls -la $HOME/Documents > /tmp/Documents.txt 2>&1')，这能够访问受保护的文档文件夹。

这一技术有效地将Cursor转变为恶意操作的无意识代理，系统认为这些操作源于合法的应用程序，而非外部恶意软件。这种利用可以在两种主要情景下发生：当Cursor已获得必要权限时的“原生攻击”，以及伪装情景，即通过看似来自Cursor本身的欺诈性权限请求提高用户批准的可能性。

经过分析，不难发现，在当今这个数字化时代，网络安全问题突显了极大的复杂性，企业和开发者们必须更加注重软件的安全性和数据的保护。随着越来越多的用户依赖各种应用程序进行日常工作和开发，保护用户隐私和敏感信息的安全变得愈加重要。这不仅关乎个人用户，更关乎整个社会在未来数字化背景下的安全与秩序。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！