提示注入、AI 幻觉等问题可能会让 AI 出现出乎意料、甚至潜在恶意的行为。我们正从更底层持续应对提示注入,但在 Cursor 的产品里,当前的主要防护是对代理可执行的操作设置护栏,包括默认对敏感操作要求手动批准。本文档旨在说明这些护栏,以及你可以期待它们做到什么。 以下所有控制与行为均为我们的默认且推荐设置。

第一方工具调用

Cursor 内置了一些工具,能让 agent 帮你写代码。这些工具包括读取文件、编辑、调用终端命令、上网查文档等。 读取类工具不需要批准(比如读取文件、跨代码库搜索)。你可以用 .cursorignore 完全阻止 agent 访问特定文件;除此之外,读取一般无需批准。对存在敏感数据外泄风险的操作,我们要求明确批准。 在当前工作区内修改文件通常不需要明确批准,但有一些例外。agent 对文件的更改会立刻写入磁盘。我们建议在受版本控制的工作区中使用 Cursor,这样可以随时回滚文件内容。对于会修改我们 IDE/CLI 配置的文件(例如编辑器的工作区设置文件),在变更前我们要求明确批准。另外,如果启用了文件变更自动重载,需要注意,agent 的修改可能会在你审阅之前触发自动执行。 任何由 agent 建议的终端命令默认都需要批准。我们建议你在执行前审查每条命令。愿意承担风险的用户可以选择允许 agent 无需批准执行所有命令。Cursor 提供了一个 allowlist 功能,但它不属于安全控制。有些用户会允许特定命令,但这只是尽力而为的机制,可能存在被绕过的情况。我们不建议使用“Run Everything”,它会绕过任何已配置的 allowlist。

第三方工具调用

Cursor 支持通过 MCP 连接外部工具。所有第三方 MCP 连接都必须由用户明确批准。用户一旦批准某个 MCP,默认情况下,Agent Mode 中每个外部 MCP 集成所建议的每一次工具调用,在执行前都必须再次得到明确批准。

网络请求

攻击者可能会利用网络请求窃取数据。我们目前只允许第一方工具对极少数主机(如 GitHub)发起网络请求、进行显式链接检索,以及使用有限的提供商进行网页搜索;除此之外均不支持。默认设置会阻止代理发起任意网络请求。

工作区信任

Cursor IDE 支持标准的 workspace trust 功能,默认是「已禁用」。打开新工作区时,工作区信任会提示你选择正常模式或受限模式。受限模式会导致 AI 等你常用的 Cursor 功能无法正常工作。对于不信任的代码仓库,建议使用其他工具,例如基础文本编辑器。 你可以按以下步骤在用户设置中启用工作区信任:
  1. 打开你的 user settings.json 文件
  2. 添加以下配置:
    "security.workspace.trust.enabled": true
    
也可以通过移动设备管理(MDM)方案在组织范围内强制启用此设置。

负责任披露

如果你认为在 Cursor 中发现了安全漏洞,请按照我们 GitHub 安全页面上的指南在那里提交报告。无法使用 GitHub 的话,也可以发邮件到 security@cursor.com 联系我们。 我们承诺在 5 个工作日内确认收到漏洞报告,并会尽快处理。处理结果将以安全公告的形式发布在我们的 GitHub 安全页面。对于严重事件,我们会同时在 GitHub 安全页面发布公告,并向所有用户发送邮件通知。