Considerações de segurança para usar o Cursor Agent
Injeção de prompt, alucinações de IA e outros problemas podem fazer a IA se comportar de formas inesperadas e potencialmente maliciosas. Enquanto a gente continua trabalhando para resolver injeção de prompt em um nível mais fundamental, nossa proteção principal nos produtos do Cursor são os guardrails sobre o que um agente pode fazer, incluindo exigir aprovação manual para ações sensíveis por padrão. O objetivo deste documento é explicar nossos guardrails e o que os usuários podem esperar deles.Todos os controles e comportamentos abaixo são nossas configurações padrão e recomendadas.
O Cursor vem com ferramentas que permitem ao agente ajudar a galera a escrever código. Isso inclui leitura de arquivos, edição, execução de comandos no terminal, busca na web por documentação e outras.Ferramentas de leitura não exigem aprovação (ex.: ler arquivos, buscar no código). A galera pode usar .cursorignore para impedir o agente de acessar arquivos específicos, mas, fora isso, leituras geralmente são permitidas sem aprovação. Para ações que podem exfiltrar dados sensíveis, exigimos aprovação explícita.Modificar arquivos no workspace atual não exige aprovação explícita, com algumas exceções. Quando o agente altera arquivos, as mudanças são salvas imediatamente em disco. Recomendamos usar o Cursor em workspaces sob controle de versão, para que o conteúdo dos arquivos possa ser revertido a qualquer momento. Exigimos aprovação explícita antes de mudar arquivos que alterem a configuração do nosso IDE/CLI, como o arquivo de configurações do editor do workspace. No entanto, quem usa recarregamento automático ao mudar arquivos deve estar ciente de que alterações do agente podem disparar execução automática antes de ter a chance de revisar as mudanças.Qualquer comando de terminal sugerido pelos agentes exige aprovação por padrão. Recomendamos revisar cada comando antes do agente executá-lo. Quem aceitar o risco pode optar por habilitar o agente para rodar todos os comandos sem aprovação. Incluímos um recurso de allowlist no Cursor, mas não consideramos isso um controle de segurança. Algumas pessoas optam por permitir comandos específicos, mas é um sistema de melhor esforço e podem existir formas de contorno. Não recomendamos “Run Everything”, que ignora quaisquer allowlists configuradas.
O Cursor permite conectar ferramentas externas via MCP. Todas as conexões MCP de terceiros devem ser explicitamente aprovadas pelo usuário. Depois que um usuário aprova um MCP, por padrão cada chamada de ferramenta sugerida no Modo Agente para cada integração MCP externa deve ser explicitamente aprovada antes da execução.
Solicitações de rede podem ser usadas por um invasor para exfiltrar dados. No momento, não oferecemos suporte a nenhuma ferramenta própria fazendo solicitações de rede fora de um conjunto muito seleto de hosts (por exemplo, GitHub), à recuperação explícita de links, e ao suporte à pesquisa na web com um conjunto selecionado de provedores. Solicitações de rede arbitrárias por agentes são bloqueadas nas configurações padrão.
O Cursor IDE oferece o recurso padrão de confiança no workspace, que vem desativado por padrão. A confiança no workspace exibe um prompt ao abrir um novo workspace para escolher entre modo normal ou restrito. O modo restrito interrompe a IA e outros recursos pelos quais a galera normalmente usa o Cursor. A gente recomenda outras ferramentas, como um editor de texto básico, para trabalhar com repositórios nos quais você não confia.A confiança no workspace pode ser ativada nas configurações do usuário seguindo estes passos:
Abra o arquivo user settings.json
Adicione a seguinte configuração:
Copy
Ask AI
"security.workspace.trust.enabled": true
Essa configuração também pode ser aplicada em toda a organização por meio de soluções de Mobile Device Management (MDM).
Se você acha que encontrou uma vulnerabilidade no Cursor, segue o guia na nossa página de segurança no GitHub e envia o relatório por lá. Se não der pra usar o GitHub, também dá pra falar com a gente em security@cursor.com.A gente se compromete a acusar o recebimento de relatórios de vulnerabilidade em até 5 dias úteis e tratá-los assim que possível. Vamos publicar os resultados em forma de avisos de segurança na nossa página de segurança no GitHub. Incidentes críticos serão comunicados tanto na página de segurança no GitHub quanto por e-mail para todos os usuários.