Prompt injection、AI 幻覺,以及其他問題可能會讓 AI 出現出乎意料、甚至具潛在惡意的行為。雖然我們持續從更底層著手解決 prompt injection,但在 Cursor 產品中,我們的主要防護是針對 agent 的可執行動作設置防護軌(guardrails),包含預設對敏感操作要求手動核准。本文旨在說明這些防護軌,以及使用者可以合理預期的效果。 以下所有控制與行為皆為我們的預設與建議設定。

第一方工具呼叫

Cursor 內建一組工具,讓代理可以幫助使用者撰寫程式碼。這些工具包括讀取檔案、編輯、呼叫終端機指令、在網路上搜尋文件等。 讀取類工具不需要核准(例如讀取檔案、跨程式碼搜尋)。使用者可以用 .cursorignore 完全阻擋代理存取特定檔案,但除此之外,一般讀取行為通常不需核准。對於可能導致敏感資料外洩風險的操作,我們要求明確核准。 在目前工作區內修改檔案通常不需要明確核准,但有一些例外。當代理對檔案做出更動時,會立即寫入磁碟。我們建議在受版本控制的工作區中使用 Cursor,這樣可以隨時還原檔案內容。對於會修改我們 IDE/CLI 設定的檔案(例如編輯器的工作區設定檔),我們會要求明確核准。不過,若使用者啟用了檔案變更即自動重新載入,要注意代理對檔案所做的更動可能會在你來得及審查前就觸發自動執行。 任何由代理建議的終端機指令預設都需要核准。我們建議使用者在代理執行前先審查每個指令。願意承擔風險的使用者可以選擇讓代理在無需核准的情況下執行所有指令。我們在 Cursor 中提供 allowlist 功能,但不將其視為安全控制。有些使用者會允許特定指令,但這是盡力而為的系統,仍可能被繞過。我們不建議使用「Run Everything」,因為它會繞過任何已設定的允許清單。

第三方工具調用

Cursor 支援透過 MCP 連接外部工具。所有第三方 MCP 連線都必須由使用者明確核准。當使用者核准某個 MCP 後,預設情況下,在 Agent Mode 中針對每個外部 MCP 整合所提出的每一次工具調用,都必須在執行前獲得明確核准。 ---MDX_CONTENTEND---

網路請求

攻擊者可能藉由網路請求竊取資料。目前我們不支援任何第一方工具向少數指定主機(例如 GitHub)之外發出網路請求、不支援明確的連結擷取,並且僅支援使用特定供應商進行的網頁搜尋。預設設定會阻止代理隨意發出網路請求。

Workspace trust

Cursor IDE 支援標準的 workspace trust 功能,且預設為停用。當你開啟新的工作區時,workspace trust 會提示你選擇一般模式或受限模式。受限模式會讓 AI 以及其他大家通常在 Cursor 上使用的功能無法正常運作。我們建議對不可信任的倉庫改用其他工具,例如基本的文字編輯器。 你可以依照以下步驟在使用者設定中啟用 workspace trust。

負責任揭露

如果你覺得在 Cursor 中發現了漏洞,請依照我們 GitHub Security 頁面的指引提交報告。若你無法使用 GitHub,也可以寄信到 security@cursor.com 與我們聯繫。 我們承諾在 5 個工作天內回覆並確認收到漏洞通報,並會盡快處理。我們會在 GitHub Security 頁面以 Security Advisory 的形式發布結果。重大事件會同時在 GitHub Security 頁面公布,並以電子郵件通知所有使用者。