IT之家 7 月 15 日消息,安全公司 Mindgard 最新报告显示,马斯克旗下 AI 编程工具 Cursor 存在严重安全漏洞,攻击者只需在项目仓库中放置恶意文件,无需用户任何点击或指令即可自动执行任意代码,而该漏洞在首次报告 7 个月后尚未得到修复。
Cursor 是一款集成 AI 编程辅助的代码编辑器,今年 6 月被马斯克旗下 SpaceX 以 600 亿美元估值收购。然而 Mindgard 发现,其本地执行逻辑存在缺陷:当用户用 Cursor 打开一个项目时,编辑器会优先运行仓库根目录下的 git.exe。整个过程无弹窗、无确认、无需 AI 交互,完全静默触发。在验证演示中,研究人员将 Windows 计算器重命名为 git.exe 放入仓库,用 Cursor 打开后计算器便自动启动,并且只要仓库保持打开状态,该程序就会反复运行,弹出大量窗口。
![]()
Mindgard 早在 2025 年 12 月 15 日就已向 Cursor 安全团队提交详细漏洞报告,但截至 2026 年 4 月 30 日,该问题仍在 Windows 版 Cursor 3.2.16 上稳定复现。此后 Mindgard 在 2026 年 2 月至 4 月间多次尝试联系均无实质回应,即便在 6 月 1 日明确表示将公开披露后,修复状态依然不明。无奈之下,Mindgard 于 7 月 14 日正式公布漏洞细节,以警示广大开发者注意潜在风险。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.