First-party tool calls
서드파티 도구 호출
네트워크 요청
워크스페이스 신뢰
- 사용자 settings.json 파일 열기
- 다음 설정 추가:
에이전트 보안
Cursor Agent 사용 시 보안 고려 사항
프롬프트 인젝션, AI 환각, 기타 이슈로 인해 AI가 예기치 않게, 때로는 악의적으로 동작할 수도 있어. 우리가 프롬프트 인젝션을 더 근본적인 층위에서 해결하기 위해 계속 작업하는 동안, Cursor 제품에서의 1차 보호 수단은 에이전트가 할 수 있는 행동에 대한 가드레일이야. 여기에는 기본적으로 민감한 작업에 대해 수동 승인을 요구하는 것도 포함돼. 이 문서는 우리의 가드레일이 무엇인지, 그리고 거기서 무엇을 기대할 수 있는지 설명하려는 거야.
아래의 모든 제어와 동작은 기본값이자 권장 설정이야.
Cursor엔 에이전트가 코드 작성을 돕는 도구들이 기본으로 들어 있어. 파일 읽기, 편집, 터미널 명령 실행, 웹에서 문서 검색 같은 기능이 포함돼.
읽기 도구는 승인 없이 쓸 수 있어(예: 파일 읽기, 코드 전체 검색). .cursorignore로 특정 파일에 아예 접근 못 하게 막을 수 있지만, 그 외 읽기 작업은 보통 승인 없이 허용돼. 민감한 데이터가 유출될 위험이 있는 작업은 명시적 승인이 필요해.
현재 워크스페이스 안 파일을 수정하는 건 몇 가지 예외를 빼고는 명시적 승인이 필요 없어. 에이전트가 파일을 바꾸면 즉시 디스크에 저장돼. 언제든 되돌릴 수 있도록 버전 관리되는 워크스페이스에서 Cursor를 쓰길 권장해. IDE/CLI 설정을 바꾸는 파일, 예를 들어 편집기의 워크스페이스 설정 파일을 수정할 땐 변경 전에 반드시 명시적 승인이 필요해. 다만 파일 변경 시 자동 리로드를 켜뒀다면, 사용자가 변경 사항을 검토하기 전에 에이전트의 파일 변경이 자동 실행을 트리거할 수 있다는 점은 알아둬.
에이전트가 제안하는 터미널 명령은 기본적으로 모두 승인이 필요해. 에이전트가 실행하기 전에 각 명령을 꼭 검토하길 권장해. 위험을 감수하겠다면 승인 없이 모든 명령을 실행하도록 설정할 수도 있어. Cursor엔 allowlist 기능이 있지만, 이걸 보안 통제로 보진 않아. 일부 사용자는 특정 명령만 허용하지만, 이건 최선의 노력에 기반한 시스템이라 우회가 가능할 수도 있어. 설정된 allowlist를 전부 우회하는 “Run Everything”은 권장하지 않아.
Cursor는 MCP를 통해 외부 도구를 연결할 수 있어. 모든 서드파티 MCP 연결은 반드시 사용자가 명시적으로 승인해야 해. 사용자가 MCP를 승인하면, 기본적으로 외부 MCP 통합에서 Agent Mode가 제안하는 각 도구 호출은 실행 전에 매번 명시적으로 승인해야 해.
네트워크 요청은 공격자가 데이터를 유출하는 데 악용될 수 있어. 현재 우린 극히 제한된 호스트(예: GitHub)에 대해서만 1자 도구의 네트워크 요청을 허용하고, 명시적 링크 가져오기와 일부 제공업체를 통한 웹 검색만 지원해. 임의의 에이전트 네트워크 요청은 기본 설정으로 차단돼.
Cursor IDE는 기본적으로 비활성화된 표준 workspace trust 기능을 지원해. 워크스페이스 신뢰는 새 워크스페이스를 열 때 일반 모드와 제한 모드 중에서 선택하라는 프롬프트를 보여줘. 제한 모드는 AI를 비롯해 보통 Cursor에서 자주 쓰는 기능들을 제대로 쓰지 못하게 만들어. 신뢰하지 않는 리포지토리로 작업해야 한다면 기본 텍스트 에디터 같은 다른 도구를 쓰는 걸 추천해.
워크스페이스 신뢰는 다음 단계로 사용자 설정에서 켤 수 있어:
Cursor에서 취약점을 발견했다고 생각하면 GitHub Security 페이지의 가이드를 따라 그곳에 보고서를 제출해줘. GitHub를 사용할 수 없다면 security@cursor.com으로도 연락해줘.
우리는 취약점 보고를 영업일 기준 5일 이내에 접수 확인하고, 가능한 한 빨리 대응할 것을 약속해. 결과는 GitHub Security 페이지에 보안 권고 형태로 게시할 거야. 치명적인 인시던트는 GitHub Security 페이지와 이메일을 통해 모든 사용자에게 공지할게.