Les attaques par injection de consignes, les hallucinations de l’IA et d’autres problèmes peuvent amener l’IA à se comporter de manière inattendue, voire malveillante. Même si on continue de travailler à une solution plus fondamentale à l’injection de consignes, notre protection principale dans les produits Cursor repose sur des garde-fous concernant ce qu’un agent peut faire, notamment l’exigence par défaut d’une approbation manuelle pour les actions sensibles. L’objectif de ce document est d’expliquer ces garde-fous et ce à quoi tu peux t’attendre. Tous les contrôles et comportements ci-dessous constituent nos paramètres par défaut et recommandés.

Appels d’outils first‑party

Cursor est fourni avec des outils qui permettent à l’agent d’aider nos utilisateurs à écrire du code. Cela inclut la lecture de fichiers, les modifications, l’exécution de commandes dans le terminal, la recherche de documentation sur le Web, et d’autres encore. Les outils de lecture ne nécessitent pas d’approbation (p. ex. lecture de fichiers, recherche dans le code). Les utilisateurs peuvent utiliser .cursorignore pour empêcher l’agent d’accéder à certains fichiers, mais sinon les lectures sont généralement autorisées sans approbation. Pour les actions qui comportent un risque d’exfiltration de données sensibles, nous exigeons une approbation explicite. La modification de fichiers dans l’espace de travail actuel ne nécessite pas d’approbation explicite, avec quelques exceptions. Quand un agent apporte des modifications à des fichiers, elles sont immédiatement enregistrées sur le disque. Nous recommandons d’utiliser Cursor dans des espaces de travail sous contrôle de version, afin que le contenu des fichiers puisse être rétabli à tout moment. Nous exigeons une approbation explicite avant de modifier des fichiers qui affectent la configuration de notre IDE/CLI, comme le fichier de paramètres de l’éditeur pour l’espace de travail. Toutefois, les utilisateurs dont l’environnement recharge automatiquement à la modification des fichiers doivent savoir que les changements de l’agent peuvent déclencher une exécution automatique avant qu’ils n’aient eu la possibilité de les examiner. Toute commande de terminal suggérée par les agents nécessite une approbation par défaut. Nous recommandons que les utilisateurs examinent chaque commande avant que l’agent ne l’exécute. Les utilisateurs qui acceptent le risque peuvent choisir d’autoriser l’agent à exécuter toutes les commandes sans approbation. Nous incluons une fonctionnalité de liste d’autorisation (allowlist) dans Cursor, mais nous ne la considérons pas comme un contrôle de sécurité. Certains utilisateurs choisissent d’autoriser des commandes spécifiques, mais c’est un système fondé sur le principe du meilleur effort et des contournements sont possibles. Nous ne recommandons pas « Run Everything », qui contourne toute liste d’autorisation configurée.

Appels d’outils tiers

Cursor permet de connecter des outils externes via MCP. Toutes les connexions MCP tierces doivent être explicitement approuvées par l’utilisateur. Une fois que tu as approuvé un MCP, par défaut, chaque appel d’outil suggéré en mode Agent pour chaque intégration MCP externe doit être explicitement approuvé avant exécution.

Requêtes réseau

Les requêtes réseau peuvent être utilisées par un attaquant pour exfiltrer des données. Nous ne prenons actuellement pas en charge d’outils propriétaires effectuant des requêtes réseau en dehors d’un ensemble très restreint d’hôtes (p. ex. GitHub), la récupération explicite de liens, ni la recherche web qu’avec un ensemble limité de fournisseurs. Les requêtes réseau arbitraires émises par des agents sont bloquées par défaut.

Confiance de l’espace de travail

L’IDE Cursor prend en charge la fonctionnalité standard de confiance de l’espace de travail, qui est désactivée par défaut. À l’ouverture d’un nouvel espace de travail, la confiance de l’espace de travail t’affiche une invite pour choisir entre le mode normal et le mode restreint. Le mode restreint désactive l’IA et d’autres fonctionnalités pour lesquelles nos utilisateurs se servent généralement de Cursor. On recommande d’utiliser d’autres outils, comme un éditeur de texte simple, pour travailler avec des dépôts auxquels tu ne fais pas confiance. Tu peux activer la confiance de l’espace de travail dans tes paramètres en suivant ces étapes.

Divulgation responsable

Si tu penses avoir trouvé une vulnérabilité dans Cursor, suis le guide sur notre page GitHub Security et dépose ton rapport là-bas. Si tu ne peux pas utiliser GitHub, tu peux aussi nous joindre à security@cursor.com. On s’engage à accuser réception des rapports de vulnérabilité sous 5 jours ouvrés et à les traiter dès que possible. On publiera les résultats sous forme d’avis de sécurité sur notre page GitHub Security. Les incidents critiques seront communiqués à la fois sur la page GitHub Security et par e-mail à tous les utilisateurs.