Перейти к основному содержанию
Инъекции подсказок, галлюцинации ИИ и другие проблемы могут приводить к непредсказуемому и потенциально вредоносному поведению ИИ. Пока мы продолжаем работать над решением инъекций подсказок на более базовом уровне, нашей основной защитой в продуктах Cursor являются правила-ограничители того, что агент может делать, включая требование ручного подтверждения по умолчанию для чувствительных действий. Цель этого документа — объяснить наши ограничители и что ты можешь от них ожидать. Все описанные ниже настройки и поведение — это наши значения по умолчанию и рекомендуемые параметры.

Вызовы встроенных инструментов

Cursor поставляется с набором инструментов, которые позволяют агенту помогать нашим пользователям писать код. Сюда входят чтение файлов, правки, выполнение команд терминала, поиск документации в интернете и другие. Инструменты для чтения не требуют одобрения (например, чтение файлов, поиск по коду). Пользователи могут использовать .cursorignore, чтобы полностью запретить агенту доступ к конкретным файлам, но в остальном операции чтения обычно разрешены без одобрения. Для действий, которые несут риск утечки конфиденциальных данных, мы требуем явного одобрения. Изменение файлов в текущем рабочем пространстве не требует явного одобрения, за некоторыми исключениями. Когда агент вносит изменения в файлы, они сразу сохраняются на диск. Мы рекомендуем запускать Cursor в рабочих пространствах под управлением системы контроля версий, чтобы содержимое файлов можно было откатить в любой момент. Мы требуем явного одобрения перед изменением файлов, которые влияют на конфигурацию нашего IDE/CLI, например файла настроек рабочего пространства редактора. Однако пользователи с автоматической перезагрузкой при изменении файлов должны учитывать, что изменения, вносимые агентом, могут запустить автоматическое выполнение до того, как у них будет возможность их просмотреть. Любая команда терминала, предложенная агентом, по умолчанию требует одобрения. Мы рекомендуем просматривать каждую команду перед тем, как агент её выполнит. Пользователи, готовые принять риск, могут включить запуск агентом всех команд без одобрения. В Cursor есть функция allowlist, но мы не считаем её средством защиты. Некоторые пользователи разрешают конкретные команды, но это система по принципу best effort, и возможны обходы. Мы не рекомендуем «Run Everything», так как это обход любых настроенных allowlist.

Вызовы сторонних инструментов

Cursor позволяет подключать внешние инструменты через MCP. Все сторонние подключения MCP должны быть явно подтверждены пользователем. После того как пользователь подтвердит MCP, по умолчанию каждый вызов инструмента, предлагаемый в Agent Mode для любой внешней интеграции MCP, должен быть явно подтверждён перед выполнением.

Сетевые запросы

Злоумышленник может использовать сетевые запросы для эксфильтрации данных. Сейчас мы не поддерживаем выполнение сетевых запросов нашими собственными инструментами за пределы строго ограниченного набора хостов (например, GitHub), явное получение ссылок, а также поддержку веб‑поиска только у выбранных провайдеров. Произвольные сетевые запросы агентов заблокированы настройками по умолчанию.

Доверие к рабочему пространству

Cursor IDE поддерживает стандартную функцию workspace trust, которая по умолчанию выключена. При открытии нового рабочего пространства появляется запрос с выбором обычного или ограниченного режима. В ограниченном режиме AI и другие ключевые функции Cursor работать не будут. Для работы с репозиториями, которым не доверяешь, лучше использовать другие инструменты, например простой текстовый редактор. Доверие к рабочему пространству можно включить в пользовательских настройках так:
  1. Открой файл user settings.json
  2. Добавь следующую настройку:
    "security.workspace.trust.enabled": true
    
Эту настройку можно также принудительно применить на уровне организации через решения Mobile Device Management (MDM).

Ответственное раскрытие уязвимостей

Если считаешь, что нашёл уязвимость в Cursor, следуй гайду на нашей странице GitHub Security и отправь отчёт там. Если не можешь использовать GitHub, можно связаться с нами по адресу security@cursor.com. Мы обязуемся подтвердить получение отчёта об уязвимости в течение 5 рабочих дней и заняться его обработкой как можно скорее. Мы опубликуем результаты в виде security advisories на нашей странице GitHub Security. О критических инцидентах сообщим и на странице GitHub Security, и по электронной почте всем пользователям.