Agentensicherheit
Sicherheitsaspekte bei der Verwendung des Cursor-Agenten
Prompt-Injection, KI-Halluzinationen und andere Probleme können dazu führen, dass sich KI unerwartet und potenziell bösartig verhält. Während wir weiter daran arbeiten, Prompt-Injection auf einer grundlegenden Ebene zu lösen, bestehen unsere primären Schutzmechanismen in Cursor-Produkten aus Leitplanken für das, was ein Agent tun darf – einschließlich der standardmäßigen Anforderung einer manuellen Zustimmung für sensible Aktionen. Das Ziel dieses Dokuments ist es, unsere Leitplanken zu erklären und was du davon erwarten kannst.
Alle nachfolgenden Kontrollen und Verhaltensweisen sind unsere Standard- und empfohlenen Einstellungen.
Cursor wird mit Tools ausgeliefert, die dem Agent helfen, dir beim Schreiben von Code zu helfen. Dazu gehören das Lesen von Dateien, Bearbeitungen, das Ausführen von Terminalbefehlen, das Durchsuchen des Webs nach Dokumentation und mehr.
Lese-Tools benötigen keine Freigabe (also das Lesen von Dateien, das Durchsuchen von Code). Du kannst .cursorignore verwenden, um den Agenten vollständig am Zugriff auf bestimmte Dateien zu hindern, aber ansonsten sind Lesezugriffe im Allgemeinen ohne Freigabe erlaubt. Für Aktionen, die das Risiko bergen, sensible Daten zu exfiltrieren, brauchen wir eine ausdrückliche Freigabe.
Das Ändern von Dateien im aktuellen Workspace erfordert keine ausdrückliche Freigabe, mit einigen Ausnahmen. Wenn ein Agent Änderungen an Dateien vornimmt, werden sie sofort auf die Festplatte geschrieben. Wir empfehlen, Cursor in versionierten Workspaces zu verwenden, damit der Inhalt der Dateien jederzeit zurückgesetzt werden kann. Wir benötigen eine ausdrückliche Freigabe, bevor Dateien geändert werden, die die Konfiguration unserer IDE/CLI betreffen, wie etwa die Workspace-Einstellungsdatei des Editors. Allerdings sollten Nutzer, die bei Dateiänderungen automatisch neuladen, sich bewusst sein, dass Änderungen des Agents an Dateien eine automatische Ausführung auslösen können, bevor sie die Gelegenheit hatten, die Änderungen zu prüfen.
Jeder vom Agenten vorgeschlagene Terminalbefehl erfordert standardmäßig eine Freigabe. Wir empfehlen, jeden Befehl zu überprüfen, bevor der Agent ihn ausführt. Nutzer, die das Risiko akzeptieren, können dem Agenten erlauben, alle Befehle ohne Freigabe auszuführen. Wir bieten in Cursor eine Allowlist an, betrachten sie aber nicht als Sicherheitskontrolle. Einige Nutzer erlauben bestimmte Befehle, aber das ist ein Best-Effort-System und Umgehungen sind möglich. Wir empfehlen „Run Everything“ nicht, da es alle konfigurierten Allowlists umgeht.
Cursor ermöglicht das Anbinden externer Tools über MCP. Alle MCP-Verbindungen von Drittanbietern müssen ausdrücklich von dir genehmigt werden. Sobald du eine MCP-Verbindung genehmigt hast, muss standardmäßig jeder in Agent Mode vorgeschlagene Tool-Aufruf für jede externe MCP-Integration vor der Ausführung ausdrücklich bestätigt werden.
Netzwerkzugriffe können von Angreifern genutzt werden, um Daten zu exfiltrieren. Aktuell unterstützen wir keine First-Party-Tools, die Netzwerkzugriffe außerhalb einer sehr kleinen Auswahl an Hosts (z. B. GitHub) durchführen, kein explizites Abrufen von Links und nur die Websuche mit einer begrenzten Auswahl an Anbietern. Beliebige Agent-Netzwerkzugriffe werden in den Standardeinstellungen verhindert.
Die Cursor-IDE unterstützt die standardmäßige Funktion Workspace-Trust, die deaktiviert ist. Workspace-Vertrauen zeigt dir beim Öffnen eines neuen Workspaces eine Aufforderung an, in der du zwischen normalem oder eingeschränktem Modus wählen kannst. Der eingeschränkte Modus verhindert die Nutzung von AI und anderen Features, für die Nutzer Cursor typischerweise verwenden. Wir empfehlen andere Tools, z. B. einen einfachen Texteditor, wenn du mit Repos arbeitest, denen du nicht vertraust.
Workspace-Vertrauen kann in den Einstellungen eines Nutzers aktiviert werden, indem diese Schritte ausgeführt werden.
Wenn du glaubst, in Cursor eine Sicherheitslücke gefunden zu haben, folge bitte der Anleitung auf unserer GitHub-Sicherheitsseite und reiche den Bericht dort ein. Falls du GitHub nicht nutzen kannst, erreichst du uns auch unter security@cursor.com.
Wir bestätigen den Eingang von Meldungen zu Sicherheitslücken innerhalb von 5 Werktagen und bearbeiten sie so schnell wie möglich. Wir veröffentlichen die Ergebnisse in Form von Sicherheitshinweisen auf unserer GitHub-Sicherheitsseite. Kritische Vorfälle werden sowohl auf der GitHub-Sicherheitsseite als auch per E-Mail an alle Nutzer kommuniziert.