内容提要
安全公司Mindgard曝光了SpaceX的Cursor AI编码助手存在高危安全漏洞,该漏洞自2025年12月通报后未修复。漏洞允许恶意git.exe文件在开发者打开项目时自动执行,可能导致严重安全问题。尽管Cursor发布了70多个版本更新,仍未回应修复请求,建议开发者避免在不可信仓库中使用Cursor。
关键要点
-
安全公司Mindgard曝光了SpaceX的Cursor AI编码助手存在高危安全漏洞,该漏洞自2025年12月通报后未修复。
-
漏洞允许恶意git.exe文件在开发者打开项目时自动执行,可能导致严重安全问题。
-
Cursor的逻辑问题导致其在多个位置查找Git可执行文件,包括当前项目目录,违反了安全原则。
-
安全公司在多次尝试联系Cursor后未得到回应,最终决定公开漏洞信息。
-
建议开发者避免在不可信仓库中使用Cursor,并考虑通过控制策略禁止Cursor执行特定可执行文件。
延伸解读
漏洞的严重性与影响
Cursor AI编码助手的安全漏洞允许恶意文件在开发者打开项目时自动执行,这可能导致严重的安全问题。开发者在使用Cursor时需特别警惕,尤其是在处理不可信的代码仓库时,避免潜在的供应链攻击。
厂商响应的缺失
尽管安全公司多次尝试联系Cursor以修复漏洞,但未得到任何回应。这种缺乏沟通和响应的态度可能会影响用户对Cursor的信任,开发者在选择工具时应考虑厂商的安全意识和响应能力。
安全使用建议
建议开发者在使用Cursor时,避免直接在主力机上打开不可信的仓库。企业管理员可以通过控制策略限制Cursor执行特定可执行文件,以降低安全风险,确保开发环境的安全性。
延伸问答
Cursor AI编码助手的安全漏洞是什么?
Cursor AI编码助手存在一个高危安全漏洞,允许恶意git.exe文件在开发者打开项目时自动执行。
这个漏洞自什么时候被通报的?
该漏洞自2025年12月通报后未修复。
Cursor为什么没有修复这个漏洞?
Cursor在发布70多个版本更新后仍未回应修复请求,安全公司多次联系也没有得到回应。
开发者应该如何保护自己免受这个漏洞的影响?
建议开发者避免在不可信仓库中使用Cursor,并考虑通过控制策略禁止Cursor执行特定可执行文件。
Mindgard是如何处理这个漏洞的?
Mindgard在多次尝试联系Cursor未果后,决定公开漏洞信息,并在2026年7月14日完全公开该漏洞。
这个漏洞可能导致什么样的安全问题?
如果攻击者在项目根目录放置恶意的git.exe文件,Cursor可能在没有警告的情况下自动执行,从而导致严重安全问题。