에이전트 보안
Cursor Agent 사용 시 보안 고려사항
프롬프트 인젝션, AI 환각, 기타 문제로 인해 AI가 예기치 않거나 잠재적으로 악의적인 방식으로 동작할 수 있어. 우리가 프롬프트 인젝션을 더 근본적인 수준에서 해결하기 위해 계속 노력하는 동안, Cursor 제품의 핵심 보호 장치는 에이전트의 권한에 대한 가드레일이야. 여기에는 기본적으로 민감한 작업에 대해 수동 승인을 요구하는 것도 포함돼. 이 문서의 목적은 우리의 가드레일이 무엇인지, 그리고 거기서 무엇을 기대할 수 있는지 설명하는 거야.
아래의 모든 제어와 동작은 기본값이자 권장 설정이야.
Cursor에는 에이전트가 유저가 코드를 작성하도록 돕는 툴이 기본으로 포함돼 있어. 여기에는 파일 읽기, 편집, 터미널 명령 실행, 문서 검색 등이 포함돼.
읽기 툴은 승인이 필요 없어(예: 파일 읽기, 코드 전역 검색). 유저는 .cursorignore를 사용해 에이전트가 특정 파일에 전혀 접근하지 못하게 막을 수 있지만, 그 외에는 일반적으로 승인 없이 읽기가 허용돼. 민감한 데이터가 유출될 위험이 있는 액션은 명시적 승인이 필요해.
현재 워크스페이스 내 파일 수정은 몇 가지 예외를 제외하고 명시적 승인이 필요 없어. 에이전트가 파일을 변경하면 즉시 디스크에 저장돼. 언제든 파일 내용을 되돌릴 수 있도록 Cursor는 버전 관리가 적용된 워크스페이스에서 실행하길 추천해. 우리 IDE/CLI의 설정을 변경하는 파일(예: 에디터의 워크스페이스 설정 파일)을 수정하기 전에는 명시적 승인이 필요해. 다만 파일 변경 시 자동 리로드를 사용하는 유저는, 에이전트의 파일 변경이 리뷰 전에 자동 실행을 트리거할 수 있다는 점을 유의해 줘.
에이전트가 제안하는 모든 터미널 명령은 기본적으로 승인이 필요해. 에이전트가 실행하기 전에 유저가 모든 명령을 검토하길 추천해. 위험을 감수한다면 에이전트가 승인 없이 모든 명령을 실행하도록 설정할 수도 있어. Cursor에는 allowlist 기능이 포함돼 있지만, 이걸 보안 통제로 보진 않아. 일부 유저는 특정 명령을 허용하도록 설정하지만, 이 시스템은 최선의 노력 수준이라 우회가 가능할 수도 있어. 구성된 allowlist를 무시하는 “Run Everything”은 추천하지 않아.
Cursor는 MCP를 통해 외부 도구를 연결할 수 있어. 모든 서드파티 MCP 연결은 반드시 사용자에게 명시적으로 승인받아야 해. 사용자가 MCP를 승인하면, 기본적으로 외부 MCP 통합에서 Agent Mode가 제안하는 각 도구 호출은 실행 전에 매번 명시적으로 승인해야 해.
공격자가 데이터를 유출하는 데 네트워크 요청을 사용할 수 있어. 현재 우리는 극소수의 호스트(예: GitHub), 명시적인 링크 가져오기, 그리고 일부 제공업체를 통한 웹 검색 지원을 제외하고는 퍼스트파티 도구의 네트워크 요청을 지원하지 않아. 임의의 에이전트 네트워크 요청은 기본 설정에서 차단돼.
Cursor IDE는 기본적으로 비활성화된 표준 workspace trust 기능을 지원해. 워크스페이스 신뢰는 새 워크스페이스를 열 때 일반 모드 또는 제한 모드를 선택하라는 프롬프트를 띄워줘. 제한 모드는 AI를 비롯해 보통 Cursor에서 쓰는 여러 기능을 사용할 수 없게 만들어. 신뢰하지 않는 레포에서 작업해야 한다면 기본 텍스트 에디터 같은 다른 도구를 추천해.
워크스페이스 신뢰는 아래 단계를 통해 사용자 설정에서 활성화할 수 있어.
Cursor에서 취약점을 발견했다고 생각하면 GitHub Security 페이지의 가이드를 따라 그곳에 보고서를 제출해줘. GitHub을 사용할 수 없다면 security@cursor.com으로도 연락할 수 있어.
우리는 영업일 기준 5일 이내에 취약점 보고를 확인하고, 가능한 한 빠르게 대응할 것을 약속해. 결과는 GitHub Security 페이지에 보안 권고 형태로 게시할 거야. 중대한 사건은 GitHub Security 페이지와 모든 사용자에게 보내는 이메일을 통해 안내할게.