피드로 돌아가기
Is Cursor Safe? I Scanned 100 Apps. 67% Had Critical Vulns.
Dev.toDev.to
Security

개발자가 Cursor로 빌드된 100개 프로덕션 앱을 스캔한 결과 67%에 치명적 보안 취약점 발견

Is Cursor Safe? I Scanned 100 Apps. 67% Had Critical Vulns.

Tomer goldstein2026년 3월 31일7intermediate

AI 요약

Context

AI 코드 생성 도구는 단일 파일 단위로 코드를 생성하여 전체 보안 아키텍처를 고려하지 못함. 개발자가 ShipSafe 보안 스캐너를 직접 빌드하고 Cursor로 생성된 100개 프로덕션 앱을 스캔함.

Technical Solution

  • 100개 프로덕션 앱에서 IDOR 43%, 역방향 인증 31%, 프론트엔드 관리자 확인 28%, 하드코딩 시크릿 22% 발견
  • IDOR 취약점은 userId 조건 한 줄 추가로 해결 가능
  • 역방향 인증은 if(token)에서 if(!token)로 부호 수정으로 해결
  • 프론트엔드 역할 검증 대신 서버단 API 가드 구현 필요
  • ShipSafe를 CI/CD 배포 파이프라인에 통합

Impact

100개 앱 중 67%에 치명적 취약점 존재 확인, 평균 앱당 3.2개 문제 발생, 최악의 앱은 14개 취약점 보유

Key Takeaway

AI 생성 코드는 동작 검증은 통과하지만 소유권 검증과 인증 로직은 누락하는 경향이 있으므로 프로덕션 배포 전 반드시 보안 스캔 필요

실천 포인트

Cursor 사용 시 .cursorrules 파일에 userId 조건 추가, 시크릿은 process.env 사용 규칙을 포함시키고 ShipSafe로 배포 전 스캔하면 IDOR과 시크릿 노출 방지

태그

#ShipSafe#IDOR#Cursor#AI-Code-Generation#Security
원문 읽기