提示注入、AI 幻觉等问题可能会导致 AI 出现意外甚至具备潜在恶意的行为。我们正致力于从更基础的层面解决提示注入,但在 Cursor 的产品中,主要的防护是对代理可执行的操作设置护栏,包括对敏感操作默认要求手动批准。本文档旨在解释这些护栏以及用户可以预期的行为。 以下所有控制和行为均为我们的默认且推荐的设置。

一方工具调用

Cursor 自带了一些工具,能让 agent 帮助用户写代码。这些工具包括读取文件、编辑、调用终端命令、在网上搜索文档等。 读取类工具不需要批准(例如读取文件、跨代码搜索)。用户可以使用 .cursorignore 完全阻止 agent 访问特定文件,否则读取一般无需批准即可执行。对于存在外泄敏感数据风险的操作,我们需要明确批准。 在当前工作区内修改文件通常不需要明确批准,但有一些例外。当 agent 修改文件时,会立即保存到磁盘。我们建议在受版本控制的工作区中运行 Cursor,这样可以随时还原文件内容。对于会修改我们 IDE/CLI 配置的文件(例如编辑器的工作区设置文件),在更改前我们需要明确批准。不过,启用了文件变更自动重载的用户需要注意,agent 对文件的修改可能会在你来得及审查之前触发自动执行。 Agent 提议的任何终端命令默认都需要批准。我们建议用户在 agent 执行之前审查每一条命令。接受风险的用户可以选择启用 agent 在无需批准的情况下运行所有命令。我们在 Cursor 中提供了一个 allowlist 功能,但不将其视为安全控制。一些用户会选择只允许特定命令,但这只是尽力而为的机制,仍可能被绕过。我们不建议使用“Run Everything”,它会绕过任何已配置的 allowlist。

第三方工具调用

Cursor 支持通过 MCP 连接外部工具。所有第三方 MCP 连接都必须由用户明确批准。用户一旦批准某个 MCP,默认情况下,在 Agent Mode 中,对于每个外部 MCP 集成所提出的每一次工具调用,执行前都必须再次获得明确批准。

网络请求

攻击者可能利用网络请求外传数据。我们目前仅支持极少数主机(例如 GitHub)的网络请求、显式的链接检索,以及使用有限的提供商进行网页搜索。默认设置会阻止代理发起任意网络请求。

工作区信任

Cursor IDE 支持标准的 workspace trust 功能,默认是「禁用」。当你打开新工作区时,工作区信任会提示你选择正常模式或受限模式。受限模式会导致 AI 以及你通常使用 Cursor 的其他功能无法正常工作。对于你不信任的代码仓库,建议使用其他工具,比如基础文本编辑器。 你可以按照以下步骤在用户设置中启用工作区信任。

负责任披露

如果你认为在 Cursor 中发现了漏洞,请按照我们 GitHub 安全页面上的指南提交报告。若无法使用 GitHub,也可以发送邮件至 security@cursor.com 与我们联系。 我们承诺在 5 个工作日内确认收到漏洞报告,并尽快进行处理。处理结果将以安全公告的形式发布在我们的 GitHub 安全页面上。对于重大事件,我们会同时在 GitHub 安全页面上发布,并通过电子邮件通知所有用户。