安全公司曝光Cursor AI编码助手安全漏洞 通报超过7个月未修复只能选择公开曝光

安全公司曝光Cursor AI编码助手安全漏洞 通报超过7个月未修复只能选择公开曝光

💡 原文中文,约1900字,阅读约需5分钟。
📝

内容提要

安全公司Mindgard曝光了SpaceX的Cursor AI编码助手存在高危安全漏洞,该漏洞自2025年12月通报后未修复。漏洞允许恶意git.exe文件在开发者打开项目时自动执行,可能导致严重安全问题。尽管Cursor发布了70多个版本更新,仍未回应修复请求,建议开发者避免在不可信仓库中使用Cursor。

🎯

关键要点

  • 安全公司Mindgard曝光了SpaceX的Cursor AI编码助手存在高危安全漏洞,该漏洞自2025年12月通报后未修复。

  • 漏洞允许恶意git.exe文件在开发者打开项目时自动执行,可能导致严重安全问题。

  • Cursor的逻辑问题导致其在多个位置查找Git可执行文件,包括当前项目目录,违反了安全原则。

  • 安全公司在多次尝试联系Cursor后未得到回应,最终决定公开漏洞信息。

  • 建议开发者避免在不可信仓库中使用Cursor,并考虑通过控制策略禁止Cursor执行特定可执行文件。

🔎

延伸解读

漏洞的严重性与影响

Cursor AI编码助手的安全漏洞允许恶意文件在开发者打开项目时自动执行,这可能导致严重的安全问题。开发者在使用Cursor时需特别警惕,尤其是在处理不可信的代码仓库时,避免潜在的供应链攻击。

厂商响应的缺失

尽管安全公司多次尝试联系Cursor以修复漏洞,但未得到任何回应。这种缺乏沟通和响应的态度可能会影响用户对Cursor的信任,开发者在选择工具时应考虑厂商的安全意识和响应能力。

安全使用建议

建议开发者在使用Cursor时,避免直接在主力机上打开不可信的仓库。企业管理员可以通过控制策略限制Cursor执行特定可执行文件,以降低安全风险,确保开发环境的安全性。

延伸问答

Cursor AI编码助手的安全漏洞是什么?

Cursor AI编码助手存在一个高危安全漏洞,允许恶意git.exe文件在开发者打开项目时自动执行。

这个漏洞自什么时候被通报的?

该漏洞自2025年12月通报后未修复。

Cursor为什么没有修复这个漏洞?

Cursor在发布70多个版本更新后仍未回应修复请求,安全公司多次联系也没有得到回应。

开发者应该如何保护自己免受这个漏洞的影响?

建议开发者避免在不可信仓库中使用Cursor,并考虑通过控制策略禁止Cursor执行特定可执行文件。

Mindgard是如何处理这个漏洞的?

Mindgard在多次尝试联系Cursor未果后,决定公开漏洞信息,并在2026年7月14日完全公开该漏洞。

这个漏洞可能导致什么样的安全问题?

如果攻击者在项目根目录放置恶意的git.exe文件,Cursor可能在没有警告的情况下自动执行,从而导致严重安全问题。

🏷️

标签

➡️

继续阅读