Segurança do Agent
Considerações de segurança ao usar o Cursor Agent
Injeção de prompt, alucinações de IA e outros problemas podem fazer a IA se comportar de maneiras inesperadas e potencialmente maliciosas. Enquanto seguimos trabalhando para resolver a injeção de prompt em um nível mais fundamental, nossa principal proteção nos produtos do Cursor são os guardrails sobre o que um agent pode fazer, incluindo exigir aprovação manual para ações sensíveis por padrão. O objetivo deste documento é explicar nossos guardrails e o que tu podes esperar deles.
Todos os controles e comportamentos abaixo são nossas configurações padrão e recomendadas.
O Cursor vem com ferramentas que permitem ao agente ajudar nossos usuários a escrever código. Isso inclui leitura de arquivos, edição, execução de comandos de terminal, busca na web por documentação e outras.
Ferramentas de leitura não exigem aprovação (ou seja, leitura de arquivos, busca no código). Usuários podem usar .cursorignore para impedir completamente o acesso do agente a arquivos específicos, mas, fora isso, leituras geralmente são permitidas sem aprovação. Para ações que envolvem risco de exfiltração de dados sensíveis, exigimos aprovação explícita.
Modificar arquivos no workspace atual não exige aprovação explícita, com algumas exceções. Quando um agente faz alterações em arquivos, elas são salvas imediatamente em disco. Recomendamos executar o Cursor em workspaces com controle de versão, para que o conteúdo dos arquivos possa ser revertido a qualquer momento. Exigimos aprovação explícita antes de alterar arquivos que modifiquem a configuração do nosso IDE/CLI, como o arquivo de configurações do workspace do editor. No entanto, usuários com recarregamento automático ao alterar arquivos devem estar cientes de que mudanças feitas pelo agente podem disparar execução automática antes que tenham a chance de revisar as alterações.
Qualquer comando de terminal sugerido pelos agentes exige aprovação por padrão. Recomendamos que os usuários revisem cada comando antes de o agente executá-lo. Usuários que aceitarem o risco podem optar por habilitar o agente para executar todos os comandos sem aprovação. Incluímos um recurso de allowlist no Cursor, mas não o consideramos um controle de segurança. Alguns usuários escolhem permitir comandos específicos, mas esse é um sistema de best-effort e bypasses podem ser possíveis. Não recomendamos “Run Everything”, que ignora quaisquer allowlists configuradas.
O Cursor permite conectar ferramentas externas via MCP. Todas as conexões MCP de terceiros precisam ser explicitamente aprovadas pela pessoa usuária. Depois que tu aprovas um MCP, por padrão cada chamada de ferramenta sugerida no Modo Agente para cada integração MCP externa precisa ser explicitamente aprovada antes da execução.
Solicitações de rede podem ser usadas por um invasor para exfiltrar dados. No momento, não oferecemos suporte para ferramentas proprietárias fazerem solicitações de rede fora de um conjunto muito restrito de hosts (por exemplo, GitHub), nem para recuperação explícita de links, e apenas para habilitar pesquisa na web com um conjunto selecionado de provedores. Solicitações de rede arbitrárias por agentes são bloqueadas nas configurações padrão.
O Cursor IDE oferece o recurso padrão de workspace trust, que vem desativado por padrão. A confiança no workspace exibe um prompt quando você abre um novo workspace para escolher entre o modo normal ou o modo restrito. O modo restrito impede o funcionamento da IA e de outros recursos pelos quais a galera normalmente usa o Cursor. A gente recomenda outras ferramentas, como um editor de texto básico, para trabalhar com repositórios nos quais você não confia.
A confiança no workspace pode ser habilitada nas configurações do usuário seguindo estas etapas.
Se você acha que encontrou uma vulnerabilidade no Cursor, segue o guia na nossa página de Segurança no GitHub e envia o relatório por lá. Se não rolar usar o GitHub, também dá pra falar com a gente em security@cursor.com.
A gente se compromete a confirmar o recebimento de relatórios de vulnerabilidade em até 5 dias úteis e a tratá-los o mais rápido possível. Vamos publicar os resultados em forma de avisos de segurança na nossa página de segurança no GitHub. Incidentes críticos serão comunicados tanto na página de segurança do GitHub quanto por e-mail para todos os usuários.