プロンプトインジェクションや AI のハルシネーションなどにより、AI が予期しない、場合によっては悪意のあるふるまいをすることがある。プロンプトインジェクションへの抜本的な対策を継続しつつ、Cursor のプロダクトでは、エージェントの行動範囲にガードレールを設けることを主な防御としている。たとえば、機微な操作にはデフォルトで手動承認を要求する。このドキュメントでは、こうしたガードレールの内容と、その挙動から何が期待できるかを説明する。 以下のコントロールと挙動は、すべてデフォルトかつ推奨の設定。

ファーストパーティのツール呼び出し

Cursor には、エージェントがユーザーのコード作成を手伝うためのツールが同梱されてる。ファイルの読み取りや編集、ターミナルコマンドの実行、ドキュメント検索のためのウェブ検索などが含まれる。 読み取り系のツールは承認不要(例: ファイルの読み取り、コード横断検索)。ユーザーは .cursorignore を使って特定ファイルへのエージェントのアクセスを完全にブロックできるけど、それ以外の読み取りは基本的に承認なしでOK。機密データを持ち出すリスクがあるアクションには、明示的な承認が必要。 現在のワークスペース内のファイルの変更は、いくつかの例外を除き明示的な承認は不要。エージェントがファイルに変更を加えると、即座にディスクへ保存される。いつでも内容を戻せるように、バージョン管理されたワークスペースで Cursor を使うのをおすすめする。IDE/CLI の設定を変更するファイル(エディタのワークスペース設定ファイルなど)を変える前には、明示的な承認が必要。ただし、ファイル変更で自動リロードする設定にしてるユーザーは、レビュー前にエージェントの変更が自動実行を引き起こす可能性がある点に注意してほしい。 エージェントが提案するターミナルコマンドは、デフォルトで承認が必要。実行前に毎回コマンドを確認するのをおすすめする。リスクを受け入れるユーザーは、承認なしで全コマンドを実行できるように設定できる。Cursor には allowlist 機能があるけど、これはセキュリティコントロールとは位置付けてない。特定のコマンドだけ許可する運用もできるが、ベストエフォートの仕組みでバイパスされる可能性がある。「Run Everything」は、設定済みの allowlist をすべてバイパスするため、おすすめしない。

サードパーティツールの呼び出し

Cursor は MCP を使って外部ツールと接続できるよ。すべてのサードパーティの MCP 接続は、ユーザーの明示的な承認が必要。ユーザーが MCP を承認すると、デフォルトでは、外部 MCP 連携における各ツール呼び出しは、Agent Mode で提案されるたびに実行前の明示的な承認が必要になるよ。

ネットワークリクエスト

ネットワークリクエストは、攻撃者にデータを持ち出されるリスクがある。今のところ、こちらで対応しているのは、厳選したホスト(例: GitHub)へのネットワークリクエスト、明示的なリンク取得、そして限定されたプロバイダを使ったウェブ検索のサポートに限られる。任意のエージェントによるネットワークリクエストは、デフォルト設定でブロックされている。

ワークスペースの信頼

Cursor IDE は、デフォルトでは無効になっている標準のworkspace trust機能をサポートしてる。ワークスペースの信頼は、新しいワークスペースを開いたときに、通常モードか制限モードを選ぶプロンプトを出す。制限モードだと、AI をはじめ、みんなが普段 Cursor を使う目的の機能が動かなくなる。信頼できないリポジトリで作業するなら、シンプルなテキストエディタみたいな別ツールをおすすめする。 ワークスペースの信頼は、次の手順でユーザー設定から有効にできる。

責任ある開示

もし Cursor に脆弱性を見つけたと思ったら、GitHub の Security ページにあるガイドに従って、そこで報告してね。GitHub を使えない場合は、security@cursor.com に連絡してくれても大丈夫。 ぼくらは、脆弱性報告を受け取ってから 5 営業日以内に受領連絡をし、できるだけ早く対応することを約束するよ。結果は GitHub の Security ページでセキュリティアドバイザリとして公開する。重大なインシデントは、GitHub の Security ページと全ユーザーへのメールの両方で告知するよ。