7月15日,一条关于Cursor的安全报告引起了业内的关注。Mindgard发布博文,披露了一个存在于马斯克旗下AI编程工具Cursor中的安全漏洞——该漏洞可被用于执行任意代码,更令人担忧的是,在向官方通报七个月后,这个问题仍未得到修复。

Cursor本身是一款带有AI编程辅助功能的代码编辑器,主要用于打开、浏览和编辑软件项目代码。今年6月,它被马斯克旗下的SpaceX收购,交易估值达到600亿美元(按当前汇率约合4069.22亿元软妹币)。对于开发者来说,这无疑是一个常用的、甚至有些依赖的工具,但如今暴露出的安全问题,却足以让人警惕。
从披露的技术细节来看,这个漏洞的触发条件比想象中更“安静”。整个过程无需用户点击任何按钮,无需向AI下达任何指令,甚至连警告或确认弹窗都不会出现。攻击者只需要在仓库顶层放置一个恶意伪造的git.exe文件,Cursor就会优先甚至直接执行该文件,而非调用系统原生的Git程序。
为了验证这一概念,Mindgard做了一个简单的演示:将Windows系统自带的计算器程序重命名为git.exe,并放入一个项目仓库中。当使用Cursor打开这个仓库后,计算器被立即启动;如果仓库持续保持打开状态,计算器还会反复运行,生成多个窗口。这虽然只是一个无害的概念验证,但足以说明问题——如果攻击者换上一个真正的恶意程序,后果将不堪设想。
更令人遗憾的是,这个漏洞的发现和报告时间并不晚。Mindgard早在2025年12月15日就向Cursor的安全团队提交了详细报告。然而,直到2026年4月30日,该问题在Windows版Cursor 3.2.16上仍然可以被成功复现。Mindgard在2026年2月至4月间多次尝试联系,但没有得到任何有效的回应。即便在2026年6月1日,Mindgard明确表达了公开披露的意向,官方修复状态依然不明确。
无奈之下,Mindgard选择在2026年7月14日正式公开了漏洞细节。对于用户而言,在官方修复之前,使用Cursor打开任何不信任的代码仓库,都意味着潜在的风险——尤其是那些包含了可能被篡改的Git相关文件的仓库。这不仅仅是一个技术问题,更是对安全响应机制的一次严肃拷问。
