La inyección de prompts, las alucinaciones de IA y otros problemas pueden hacer que la IA se comporte de forma inesperada y potencialmente maliciosa. Mientras seguimos trabajando para resolver la inyección de prompts a un nivel más fundamental, nuestra protección principal en los productos de Cursor son los guardarraíles sobre lo que un agente puede hacer, incluido solicitar aprobación manual para acciones sensibles de forma predeterminada. El objetivo de este documento es explicar nuestros guardarraíles y qué puedes esperar de ellos. Todos los controles y comportamientos a continuación son nuestra configuración predeterminada y recomendada.

Llamadas a herramientas propias

Cursor viene con herramientas integradas que le permiten al agente ayudarte a escribir código. Incluyen lectura de archivos, edición, ejecución de comandos de terminal, búsqueda de documentación en la web y otras. Las herramientas de lectura no requieren aprobación (p. ej., lectura de archivos, búsqueda en el código). Puedes usar .cursorignore para bloquear por completo el acceso del agente a archivos específicos; de lo contrario, las lecturas generalmente están permitidas sin aprobación. Para acciones que conllevan riesgo de exfiltración de datos sensibles, requerimos aprobación explícita. Modificar archivos dentro del espacio de trabajo actual no requiere aprobación explícita con algunas excepciones. Cuando un agente hace cambios en archivos, estos se guardan inmediatamente en disco. Recomendamos ejecutar Cursor en espacios de trabajo con control de versiones, para que el contenido de los archivos pueda revertirse en cualquier momento. Requerimos aprobación explícita antes de cambiar archivos que modifiquen la configuración de nuestro IDE/CLI, como el archivo de configuración del espacio de trabajo del editor. Sin embargo, si tienes recarga automática al cambiar archivos, ten en cuenta que los cambios del agente pueden desencadenar ejecución automática antes de que tengas oportunidad de revisarlos. Cualquier comando de terminal sugerido por los agentes requiere aprobación de forma predeterminada. Recomendamos que revises cada comando antes de que el agente lo ejecute. Si aceptas el riesgo, puedes habilitar que el agente ejecute todos los comandos sin aprobación. Incluimos una allowlist en Cursor, pero no la consideramos un control de seguridad. Algunas personas eligen permitir comandos específicos, pero es un sistema de mejor esfuerzo y es posible que existan métodos de evasión. No recomendamos “Run Everything”, que omite cualquier allowlist configurada.

Llamadas a herramientas de terceros

Cursor te permite conectar herramientas externas mediante MCP. Todas las conexiones MCP de terceros deben ser aprobadas explícitamente por ti. Una vez que apruebas un MCP, de forma predeterminada cada llamada de herramienta sugerida en el Modo Agente para cada integración MCP externa debe ser aprobada explícitamente antes de su ejecución.

Solicitudes de red

Un atacante puede usar solicitudes de red para exfiltrar datos. Actualmente no permitimos que herramientas propias realicen solicitudes de red fuera de un conjunto muy selecto de hosts (p. ej., GitHub), la recuperación explícita de enlaces ni el uso de búsqueda web salvo con un conjunto selecto de proveedores. Las solicitudes de red arbitrarias de los agentes se bloquean con la configuración predeterminada.

Confianza del espacio de trabajo

El IDE de Cursor es compatible con la función estándar de confianza del espacio de trabajo, que está desactivada de forma predeterminada. La confianza del espacio de trabajo te muestra un aviso cuando abres un nuevo espacio para elegir entre modo normal o restringido. El modo restringido desactiva la IA y otras funciones para las que normalmente usas Cursor. Te recomendamos otras herramientas, como un editor de texto básico, para trabajar con repos en los que no confíes. Puedes activar la confianza del espacio de trabajo en tu configuración siguiendo estos pasos.

Divulgación responsable

Si crees que encontraste una vulnerabilidad en Cursor, sigue la guía en nuestra página de seguridad de GitHub y envía el informe allí. Si no puedes usar GitHub, también puedes escribirnos a security@cursor.com. Nos comprometemos a acusar recibo de los informes de vulnerabilidades dentro de 5 días hábiles y a abordarlos tan pronto como nos sea posible. Publicaremos los resultados en forma de avisos de seguridad en nuestra página de seguridad de GitHub. Los incidentes críticos se comunicarán tanto en la página de seguridad de GitHub como por correo electrónico a todos los usuarios.