Безопасность агента
Вопросы безопасности при использовании Cursor Agent
Инъекции промптов, галлюцинации ИИ и другие проблемы могут приводить к неожиданному и потенциально вредоносному поведению ИИ. Пока мы продолжаем работать над более фундаментальным решением проблемы инъекций промптов, нашей основной защитой в продуктах Cursor остаются рамки того, что агент может делать, включая запрос ручного подтверждения по умолчанию для чувствительных действий. Цель этого документа — объяснить эти рамки и то, чего пользователи могут от них ожидать.
Все перечисленные ниже механизмы и поведение — это наши настройки по умолчанию и рекомендованные.
Cursor поставляется с инструментами, которые позволяют агенту помогать тебе писать код. В их число входят чтение файлов, внесение правок, выполнение команд терминала, поиск документации в интернете и другие.
Инструменты чтения не требуют подтверждения (например, чтение файлов, поиск по коду). Ты можешь использовать .cursorignore, чтобы полностью запретить агенту доступ к конкретным файлам, а в остальных случаях чтение обычно разрешено без подтверждения. Для действий, которые могут привести к утечке конфиденциальных данных, требуется явное подтверждение.
Изменение файлов в текущем рабочем пространстве не требует явного подтверждения, за некоторыми исключениями. Когда агент вносит изменения в файлы, они сразу сохраняются на диск. Мы рекомендуем запускать Cursor в рабочих пространствах под управлением системы контроля версий, чтобы содержимое файлов можно было откатить в любой момент. Мы требуем явного подтверждения перед изменением файлов, которые затрагивают конфигурацию нашего IDE/CLI, например файла настроек рабочего пространства редактора. Однако пользователям с включённой автоматической перезагрузкой при изменении файлов стоит учитывать, что изменения, внесённые агентом, могут запустить автоматическое выполнение до того, как у тебя будет возможность их просмотреть.
Любая команда терминала, предложенная агентами, по умолчанию требует подтверждения. Мы рекомендуем просматривать каждую команду перед её выполнением агентом. Если ты готов принять риск, можно разрешить агенту выполнять все команды без подтверждения. В Cursor есть функция allowlist, но мы не считаем её средством защиты. Некоторые пользователи выбирают разрешение отдельных команд, но это система по принципу best effort, и обходы возможны. Мы не рекомендуем опцию Run Everything, так как она обходит любые настроенные allowlist’ы.
Cursor позволяет подключать внешние инструменты через MCP. Все сторонние подключения MCP должны быть явно одобрены пользователем. После того как пользователь одобряет MCP, по умолчанию каждый вызов инструмента, предлагаемый в Agent Mode для любой внешней интеграции MCP, должен быть явно одобрен перед выполнением.
Сетевые запросы могут использоваться атакующим для вывода данных. Сейчас мы не поддерживаем выполнение сетевых запросов встроенными инструментами за пределами узкого набора хостов (например, GitHub), явного получения ссылок и поддержки веб‑поиска у ограниченного набора провайдеров. Произвольные сетевые запросы агента блокируются настройками по умолчанию.
Cursor IDE поддерживает стандартную функцию workspace trust, которая по умолчанию отключена. При открытии новой рабочей области Workspace Trust показывает пользователю запрос с выбором обычного или ограниченного режима. Ограниченный режим отключает ИИ и другие возможности, ради которых обычно используют Cursor. Для работы с репозиториями, которым ты не доверяешь, мы рекомендуем другие инструменты, например обычный текстовый редактор.
Доверие рабочей области можно включить в настройках пользователя, выполнив следующие шаги.
Если ты считаешь, что нашёл уязвимость в Cursor, следуй инструкции на нашей странице GitHub Security и отправь там отчёт. Если не можешь воспользоваться GitHub, можешь написать нам на security@cursor.com.
Мы берём на себя обязательство подтвердить получение отчёта об уязвимости в течение 5 рабочих дней и заняться его рассмотрением как можно скорее. Мы опубликуем результаты в виде уведомлений о безопасности на нашей странице безопасности в GitHub. О критических инцидентах мы сообщим как на странице безопасности в GitHub, так и по email всем пользователям.