Prompt enjeksiyonu, yapay zekâ halüsinasyonları ve diğer sorunlar, yapay zekânın beklenmedik ve potansiyel olarak kötü niyetli şekillerde davranmasına yol açabilir. Prompt enjeksiyonunu daha temel düzeyde çözmek için çalışmayı sürdürürken, Cursor ürünlerindeki başlıca korumamız, bir agent’in yapabileceklerine yönelik koruma sınırlarıdır; buna, hassas işlemler için varsayılan olarak manuel onay gerekliliği de dahildir. Bu belgenin amacı, bu koruma sınırlarını ve kullanıcıların onlardan ne bekleyebileceğini açıklamaktır. Aşağıda yer alan tüm kontroller ve davranışlar varsayılan ve önerilen ayarlarımızdır.

Birinci taraf araç çağrıları

Cursor, ajanın kullanıcıların kod yazmasına yardımcı olmasını sağlayan yerleşik araçlarla birlikte gelir. Bunlara dosya okuma, düzenleme, terminal komutlarını çalıştırma, dokümantasyon için web’de arama ve diğerleri dahildir. Okuma araçları onay gerektirmez (örn. dosya okuma, kod genelinde arama). Kullanıcılar, ajanın belirli dosyalara hiç erişmesini engellemek için .cursorignore kullanabilir; bunun dışında okumalar genel olarak onaysız yapılabilir. Hassas verilerin sızmasına yol açma riski taşıyan eylemler için açık onay isteriz. Mevcut çalışma alanındaki dosyaları değiştirmek, bazı istisnalar dışında, açık onay gerektirmez. Bir ajan dosyalarda değişiklik yaptığında bunlar anında diske kaydedilir. Dosya içeriklerini istediğin zaman geri alabilmek için Cursor’ı sürüm kontrolü olan çalışma alanlarında çalıştırmanı öneririz. IDE/CLI yapılandırmamızı değiştiren dosyalarda değişiklik yapmadan önce — örneğin editörün çalışma alanı ayarları dosyası — açık onay isteriz. Ancak, dosya değiştiğinde otomatik yeniden yüklemeyi etkinleştiren kullanıcılar, ajanın yaptığı değişikliklerin, sen inceleme fırsatı bulamadan otomatik yürütmeyi tetikleyebileceğinin farkında olmalı. Ajanlar tarafından önerilen herhangi bir terminal komutu varsayılan olarak onay gerektirir. Ajanın bir komutu çalıştırmasından önce her komutu gözden geçirmeni öneririz. Riski kabul eden kullanıcılar, ajanın tüm komutları onaysız çalıştırmasını etkinleştirmeyi seçebilir. Cursor’da bir allowlist özelliği bulunur, ancak bunu bir güvenlik kontrolü olarak görmüyoruz. Bazı kullanıcılar belirli komutlara izin verir, ancak bu bir “best-effort” sistemidir ve atlatmalar mümkün olabilir. Herhangi bir yapılandırılmış allowlist’i baypas eden “Her Şeyi Çalıştır” seçeneğini önermiyoruz.

Üçüncü taraf araç çağrıları

Cursor, MCP aracılığıyla harici araçların bağlanmasına olanak tanır. Tüm üçüncü taraf MCP bağlantıları kullanıcı tarafından açıkça onaylanmalıdır. Bir kullanıcı bir MCP’yi onayladıktan sonra, varsayılan olarak her harici MCP entegrasyonu için Agent Mode’da önerilen her araç çağrısı, çalıştırılmadan önce tek tek açıkça onaylanmalıdır.

Ağ istekleri

Ağ istekleri, bir saldırgan tarafından veri sızdırmak için kullanılabilir. Şu anda çok sınırlı bir ana makine kümesi (ör. GitHub) dışına ağ isteği yapan birinci taraf araçları, açıkça bağlantı alma ve seçili sağlayıcılarla web aramasını destekleme dışında desteklemiyoruz. Keyfi ajan ağ istekleri varsayılan ayarlarla engellenir.

Çalışma alanı güveni

Cursor IDE, varsayılan olarak kapalı olan standart workspace trust özelliğini destekler. Workspace trust, yeni bir çalışma alanı açtığında sana normal veya kısıtlı modu seçmen için bir uyarı gösterir. Kısıtlı mod, AI’yi ve kullanıcıların Cursor’ı genelde kullandığı diğer özellikleri devre dışı bırakır. Güvenmediğin repolarla çalışırken temel bir metin düzenleyici gibi başka araçları kullanmanı öneririz. Workspace trust, aşağıdaki adımları izleyerek ayarlarında etkinleştirilebilir.

Sorumlu açıklama

Cursor’da bir güvenlik açığı bulduğunu düşünüyorsan, lütfen GitHub Security sayfamızdaki yönergeleri izle ve raporu oradan gönder. GitHub’ı kullanamıyorsan, bize security@cursor.com adresinden de ulaşabilirsin. Güvenlik açığı raporlarını 5 iş günü içinde aldığımızı teyit etmeyi ve onları mümkün olan en kısa sürede ele almayı taahhüt ediyoruz. Sonuçları GitHub Security sayfamızda güvenlik danışma notları (advisory) olarak yayımlayacağız. Kritik olaylar hem GitHub Security sayfasında hem de tüm kullanıcılara e‑posta yoluyla duyurulacak.