
漏洞详情:克隆仓库即可触发任意代码执行
Windows 版 Cursor 被曝存在严重安全漏洞,攻击者只需在代码仓库根目录植入名为 git.exe 的文件,当开发者在 Cursor 中打开该仓库时,恶意代码将以开发者完全权限立即执行。整个过程无需点击确认、无警告弹窗,且在项目保持打开期间会持续反复运行。
该漏洞属于 CWE-426(不受信任的搜索路径)。Cursor 在加载项目时会调用 Git 自省命令定位仓库根目录,由于 Windows 系统默认优先搜索当前目录,Cursor 会错误执行攻击者提供的恶意二进制文件,而非系统合法的 Git 程序。这意味着攻击者可窃取 SSH 密钥、云令牌及 CI/ 流水线访问权限。安全公司 Mindgard 通过重命名计算器应用为 git.exe 成功复现了该漏洞。
修复与响应:七个月沉默后的静默补丁
媒体报道指出,Cursor 已于 2026 年 7 月 13 日悄悄修复此问题,比 Mindgard 发布完整技术报告早一天。然而,截至 7 月 17 日,官方未发布任何安全公告,未分配 CVE 编号,也未告知公众具体修复版本。对于拥有超 700 万活跃用户、百万日活及十万企业付费订阅者的 Cursor 而言,大量未更新用户仍处于风险之中且浑然不知。
此次披露历时七个月。Mindgard 于 2025 年 12 月 15 日首次报告,初期遭遇自动流程失效及 " 信息性 " 误判。尽管 HackerOne 后续确认漏洞有效性,但 Cursor 方面长期未予回应。与此同时,Cursor 却在 2026 年 2 月协调披露了另一项 Git 钩子沙箱逃逸漏洞。Mindgard 首席产品官 Aaron Portnoy 表示,在多次寻求状态更新无果后,被迫选择完全公开披露。
Cursor 在向媒体回应时引用 " 共同责任模型 ",辩称客户引入受损内容的问题不在其漏洞赏金范围内,但未解释延迟修复的原因。
紧急应对措施
立即更新: 更新至最新构建版本是唯一确认的缓解措施,尽管官方未明确标识修复版本号。
企业环境防护: 若无法立即更新,管理员应部署 AppLocker 或 Windows App Control,基于路径拒绝执行开发者工作区目录下的 git.exe 文件。注意基于哈希的黑名单无效,因攻击者可更改二进制内容。
个人开发者: 在应用更新前,仅在 Windows 沙盒或临时虚拟机中打开不受信任的代码仓库。
MCP 暴露防护: 根据 Adversa AI 披露,建议通过白名单限制 MCP 服务器安装,并在网关处阻止 cursor://…/mcp/install URI 模式。
关联风险:DeepJack 攻击与行业通病
在 Mindgard 披露次日,Adversa AI 发布了关于 Cursor 的另一份报告,揭示了针对 cursor:// URL 方案处理程序的 "DeepJack" 攻击向量。攻击者可通过构造恶意深度链接,利用安装对话框的单行文本框隐藏尾部恶意命令,或通过双重 URL 编码绕过验证,诱骗用户批准安装恶意 MCP 服务器。Cursor 虽称相关问题已在 4 月内部提交,但截至 7 月中旬的最新版本仍易受攻击。
此类二进制植入及 URL 处理问题并非 Cursor 独有。Cymulate 研究发现,GitHub Copilot CLI、Gemini CLI 和 Codex 桌面应用均存在类似缺陷。GitHub 虽支付赏金但降级严重程度,Google 承认问题但未发布补丁,OpenAI 则以 " 攻击者需先拥有系统访问权 " 为由关闭报告,这一立场被指误解了仅需克隆即可触发的攻击本质。
行业反思:AI IDE 的信任危机
随着 AI 编码代理在开发者机器上注册自定义 URL 处理程序并获取终端、云凭据等高权限,其攻击面显著扩大。Adversa AI 调查显示,企业安全团队往往忽视这些处理程序的存在。近期,包括 GhostApproval 符号链接滥用和 HalluSquatting 包名幻觉在内的多项研究,均指向 AI 编码工具的安全模型未能跟上其能力扩张的步伐。
Coursera 问责赤字表明,部分 AI IDE 厂商将影响数百万用户的可复现任意代码执行漏洞置于功能开发之后。正如 Portnoy 所言:" 信任需要问责,问责需要沟通。" 当基本的安全状态更新都难以获取时,用户对平台的信任基础正面临严峻挑战。
【星途科讯 图文丨王宇洲 首发于 ZAKER 科技,转载请注明出处】


