近日,在cursor ai代码编辑器中发现一个远程代码执行(rce)漏洞,该漏洞会导致恶意代码仓库在被打开时,直接在用户本地机器上运行任意代码。研究团队指出,该漏洞利用了编辑器的默认配置设定,成功绕过了常规的安全确认提示。
此漏洞的核心在于:Cursor默认将“工作区信任”(Workspace Trust)功能设为禁用状态。而在VS Code中,这一安全机制正是用于阻止未经验证的代码自动执行的关键防线。一旦该功能被关闭,攻击者便可构造一个包含特制 .vscode/tasks.json 文件的恶意仓库。通过将 runOptions.runOn 参数设为 "folderOpen",当开发者在Cursor中打开该文件夹时,任务配置中定义的任意命令都将被无提示地执行。
这意味着——原本看似安全、日常的“打开项目”操作,可能瞬间演变为在用户受信任环境中静默执行恶意逻辑的过程,全程不触发任何警告或授权弹窗。借助该漏洞,攻击者可窃取敏感凭证、篡改本地文件,甚至建立与C2(命令与控制)服务器的持久连接。由于开发人员设备通常保存着高权限访问密钥(如云API密钥、个人访问令牌PAT、活跃SaaS会话),此类入侵极具破坏性。一旦攻陷一台开发机,攻击者即可迅速获取组织内最核心的身份凭证。
威胁范围远不止于单台终端。获得初始访问权限后,攻击者极有可能沿CI/CD流水线、云环境等路径横向移动。更严峻的是,这类渗透常导致非人类身份(例如服务账户、工作负载身份)被劫持——而这些身份在企业基础设施中普遍拥有跨系统、高权限的广泛访问能力。一个伪装成开源项目的恶意仓库,就足以触发连锁式安全灾难。
目前,所有使用默认配置的Cursor用户均处于直接风险之中;相比之下,启用了“工作区信任”的标准Visual Studio Code用户则具备天然防护层——该功能会强制阻断自动任务执行,直至用户主动对当前工作区授予明确信任。
对此,Cursor官方回应称,用户可通过手动启用“工作区信任”功能进行缓解,并表示更新版安全实践指南即将发布。研究团队亦已向Cursor开发团队提交了即时加固建议。
✅ 推荐用户立即采取以下措施:
- 在Cursor中启用 “工作区信任” 功能,并设置为启动时提示;
- 将
task.allowAutomaticTasks选项显式设为 “off”; - 对所有来源不明或未经验证的代码仓库,务必在隔离环境中打开(例如一次性Docker容器、专用虚拟机等),以杜绝潜在的未授权代码执行风险。
☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜
