跳轉到主要內容
Prompt injection、AI 幻覺,以及其他問題可能會讓 AI 出現出乎意料、甚至具惡意的行為。我們雖然持續從更根本的層面著手解決 prompt injection,但在 Cursor 產品中的主要防護,是以限制代理(agent)可執行的動作為核心的防護措施,包含預設對敏感操作要求手動核准。本文旨在說明這些防護措施,以及使用者可對其抱持的預期。 以下所有控管與行為都是我們的預設且建議的設定。

第一方工具呼叫

Cursor 內建一組工具,能讓 agent 幫你更順手寫程式。包含讀取檔案、編輯、執行終端機指令、在網路上搜尋文件等。 讀取型工具不需事前批准(例如讀取檔案、跨程式碼搜尋)。使用者可以用 .cursorignore 完全阻擋 agent 存取特定檔案;除此之外,讀取一般不需批准。對於可能外洩敏感資料的操作,我們需要使用者明確批准。 在目前工作區內修改檔案通常不需要明確批准,但有些例外。當 agent 修改檔案時,會立即寫入磁碟。我們建議在有版控的工作區中使用 Cursor,以便隨時還原檔案內容。對於會變更我們 IDE/CLI 設定的檔案(例如編輯器的工作區設定檔),變更前需要明確批准。不過,若啟用了檔案變更自動重新載入,請留意 agent 的修改可能在你來得及審閱前就觸發自動執行。 任何由 agent 建議的終端機指令預設都需要批准。我們建議使用者在 agent 執行前逐一審閱每個指令。能接受風險的使用者可以選擇允許 agent 無需批准就執行所有指令。我們在 Cursor 中提供 allowlist 功能,但不將其視為安全控制。有些使用者會允許特定指令,不過這只是盡力而為的機制,仍可能被繞過。我們不建議使用「Run Everything」,因為它會繞過任何已設定的 allowlist。

第三方工具呼叫

Cursor 支援透過 MCP 連接外部工具。所有第三方 MCP 連線都必須由使用者明確核准。當使用者核准某個 MCP 後,預設情況下,Agent Mode 對於每個外部 MCP 整合所建議的每一次工具呼叫,都必須在執行前獲得使用者明確核准。

網路請求

攻擊者可能會利用網路請求外洩資料。我們目前不支援第一方工具向極少數指定主機(例如 GitHub)之外發出網路請求、不支援顯式連結擷取,並且僅針對特定供應商支援網路搜尋。預設設定會阻擋任意代理發出的網路請求。

Workspace trust

Cursor IDE 支援標準的 workspace trust 功能,預設為停用。當打開新的 workspace 時,workspace trust 會跳出提示,讓你選擇一般模式或受限模式。受限模式會讓 AI 和其他大家在 Cursor 上常用的功能無法運作。對於不信任的 repo,我們建議改用其他工具,例如基本的文字編輯器。 可以透過以下步驟在使用者設定中啟用 workspace trust:
  1. 打開你的使用者 settings.json 檔案
  2. 新增以下設定:
    "security.workspace.trust.enabled": true
    
這個設定也可以透過行動裝置管理(MDM)方案在整個組織層級強制套用。

負責任揭露

如果你在 Cursor 中發現漏洞,請依照我們 GitHub Security 頁面的指南提交報告。若無法使用 GitHub,也可以寄信到 security@cursor.com 與我們聯絡。 我們承諾在 5 個工作天內確認收到你的漏洞回報,並會盡快處理。我們會在 GitHub 的 Security 頁面以安全公告形式發布結果。重大事件將同時在 GitHub 的 Security 頁面公告,並以電子郵件通知所有使用者。