Cursor IDE 0day 漏洞:打开恶意仓库即可自动执行任意代码

安全研究机构 Mindgard 披露,在 Windows 系统上,通过 Cursor IDE(一款拥有 700 万+活跃用户的 AI 辅助编程工具)打开一个包含恶意 git.exe 文件的仓库,无需任何用户交互,即可自动触发任意代码执行。该漏洞于 2025 年 12 月 15 日首次报告,至今 7 个多月、超…

Cursor IDE 0day 漏洞:打开恶意仓库即可自动执行任意代码

一句话看懂:安全研究机构 Mindgard 披露,在 Windows 系统上,通过 Cursor IDE(一款拥有 700 万+活跃用户的 AI 辅助编程工具)打开一个包含恶意 git.exe 文件的仓库,无需任何用户交互,即可自动触发任意代码执行。该漏洞于 2025 年 12 月 15 日首次报告,至今 7 个多月、超过 197 个新版本迭代后仍未修复。

事件核心:发生了什么

Mindgard 发现,当用户在 Windows 上通过 Cursor IDE 加载项目时,Cursor 会自动搜索可用的 git 二进制文件,搜索路径包含当前工作区。攻击者只需在仓库根目录放置一个名为 git.exe 的恶意可执行文件,Cursor 就会在无弹窗、无提示、无需点击的情况下自动执行该文件。这一行为在 IDE 启动后还会周期性地重复执行。Mindgard 已于漏洞发现当日(2025 年 12 月 15 日)通过 Cursor 官方安全邮箱、安全报告流程、HackerOne 漏洞赏金平台多次上报,但除 Cursor CISO 承认内部自动化流程失效外,再无实质响应。目前,尽管 Cursor 已发布超过 70 个新版本,该漏洞依然存在。

为什么重要

此漏洞的核心意义在于它极其简单却影响巨大。它不依赖任何复杂攻击链(如提示注入、越狱、内存破坏等),只要开发者打开一个看似无害的代码仓库,即可完成权限失控。在 AI 编程助手大规模普及、企业和个人开发者将其作为主力开发工具的背景下(Cursor 拥有 100 万+ 日活用户,50K+ 企业客户),该漏洞直接将开发者的本地机器暴露给任意恶意代码执行风险。更为关键的是,厂商在长达数月的时间内未采取修复措施,也未向用户发布风险提示,这暴露了部分 AI 工具公司在产品快速迭代中对安全流程的忽视——尤其是当这种工具被视为“可信开发环境”时,信任一旦被破坏,影响是系统性的。

对用户/开发者/创作者的影响

对个人开发者:如果在 Windows 系统上使用 Cursor,从非可信来源(如公开仓库、第三方下载)打开任意项目时,可能立即感染恶意软件。建议在官方修复前,只在隔离虚拟机或 Windows Sandbox 中打开不信任的仓库。
对企业/团队:如果团队在受管 Windows 环境中使用 Cursor,管理员可使用 AppLocker 或 Windows 应用控制策略,对从仓库根目录执行的 git.exe 名称进行路径级拒绝规则。但鉴于攻击者提供的二进制哈希可任意变化,基于路径的规则比基于哈希的规则更可靠。
对 AI 开发工具生态:该漏洞引发了对 IDE 插件及 AI 辅助工具安全设计的普遍质疑。所有以“自动加载、智能推断”为卖点的工具,都需重新检查其对本地文件系统的信任边界和权限控制。

GamsGo AI

AI 工具推荐

想把多个 AI 模型放在一个入口?

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。

值得关注的后续

1. Cursor 是否会发布安全补丁? 在长达 7 个月的沉默后,目前公开信息显示没有明确的修复时间表。如果持续不修补,将可能导致用户流失或企业采购决策转向安全审计更严格的竞品。
2. HackerOne 等漏洞平台是否会推动行业责任? 这是否会成为 HackerOne 平台乃至行业道德标准的标志性案例——漏洞已被平台确认,厂商仍不作为时,社区和平台应如何行动?
3. 其他 AI 开发 IDE 是否存在类似问题? 鉴于 Cursor 使用 Electron 架构且广泛复用社区类 Git 路径查找逻辑,竞品(如 GitHub Copilot 在 VS Code 中的实现)可能也面临类似风险,但尚未公开披露。

来源:Hacker News 热门(buzzing.cc 中文翻译)

celebrityanime
celebrityanime
文章: 13379

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注