2026 年 7 月 14 日,安全公司 Mindgard 发布了一篇博客,公开了 Cursor IDE 中一个已存在超过七个月的远程代码执行漏洞。不是需要精巧利用链的高级攻击,不是 AI prompt injection 的变种——只是把恶意 git.exe 放进项目根目录,Cursor 就会在你打开项目的瞬间自动执行它。没有弹窗,没有确认,没有警告。你甚至不知道它跑了。
这篇文章同时是一封写给用户和行业的公开信:当一个估值 600 亿美元、拥有 700 万活跃用户的 AI 编程工具,对一份提交了七个月的安全报告选择沉默时,研究者还能做什么?

一个简单到让人不安的漏洞
漏洞本身不需要复杂解释。Cursor 在加载项目时,会在多个路径中寻找 Git 二进制文件——而工作区根目录就是其中之一。如果仓库里恰好有个 git.exe,它会被优先选中,然后被 Cursor 反复调用,用于执行如 git rev-parse --show-toplevel 这样的常规操作。
Mindgard 的研究员 Aaron Portnoy 用一个温和的方式做了概念验证:将 Windows 自带的计算器程序重命名为 git.exe 放入仓库,打开 Cursor,计算器窗口弹了出来,并随着 Cursor 的运行不断弹出新的窗口。在真实攻击场景中,计算器可以被替换为任意攻击者代码,以当前用户的权限运行。
Process Monitor 的日志清晰地记录了整个过程(以下为 Sysinternals 日志节选,最后验证日期为 2026 年 4 月 30 日,针对 Cursor 3.2.16):
4:25:12.6209706 PM Cursor.exe 54880 Process Create c:\Users\...\git.exe SUCCESS PID: 48972, Command line: git rev-parse --show-toplevel
攻击路径不需要高级社工。开发者克隆一个 GitHub 仓库、接收客户发来的代码压缩包,或者在代码评审中打开同事分享的项目——只要里面有 git.exe,它就自动运行。这个漏洞不依赖 prompt injection、模型操控、越狱、内存破坏或是任何精巧的攻击链。它的简洁程度,恰好是它最令人担忧的地方。
七个月的沉默:一场单方面的对话
Mindgard 在 2025 年 12 月 15 日发现并首次报告了该漏洞。以下是后续七个月的时间线:
- 2025 年 12 月 15 日:漏洞发现并通过 Cursor 官方 security.txt 中列出的邮箱
[email protected]报告。 - 2025 年 12 月 18 日:跟进邮件请求确认收悉,无回应。
- 2026 年 1 月 13 日:Mindgard 在 LinkedIn 发帖公开寻找 Cursor 安全联系人。用户在评论区 @ 了 Cursor 的 CISO。
- 2026 年 1 月 15 日:Cursor CISO 回复邮件,承认内部自动化流程故障导致未能自动触发 HackerOne 工作流。Mindgard 被手动邀请至私有漏洞赏金计划。
- 2026 年 1 月 15 日:漏洞通过 HackerOne 重新提交。
- 2026 年 1 月 16 日:报告被关闭,标记为「Informative」(信息性)且超出范围。Mindgard 提出质疑。
- 2026 年 1 月 16 日:HackerOne 重新打开报告,确认可复现,并将详情交付给 Cursor。
- 2026 年 1 月 20 日:HackerOne 确认交付完成。
此后,所有跟进请求均杳无音信。2 月 16 日、3 月 3 日、3 月 17 日、4 月 1 日——每次跟进都石沉大海。HackerOne 方面反复确认 Cursor 已收到信息,但没有任何实质性回应。
到 2026 年 6 月 1 日,Mindgard 正式通知 HackerOne 将公开披露,Cursor 仍未回应。7 月 14 日,博客发布。
在这七个月里,Cursor 发布了超过 70 个新版本(累计 197 个版本),功能不断迭代,产品持续进化,但这个漏洞始终存在于最新版本中。用 Mindgard 原文的话说:「对话已经从漏洞披露转向了一个更令人不安的问题:安全流程到底是干什么用的?」
不是 DuneSlide——区分两个独立漏洞
如果读者在 4 月份听说过 Cursor 的漏洞,那很可能是 DuneSlide(CVE-2026-50548 和 CVE-2026-50549),而非此次披露的零日。这两个漏洞需要区分清楚:
- DuneSlide:由 Cato AI Labs 在 2026 年 7 月 1 日披露,涉及 prompt injection 绕过 Cursor 的终端沙箱,CVSS 评分 9.8,影响所有平台。已随 Cursor 3.0 于 2026 年 4 月 2 日修复。
- 本次零日:无需 prompt injection,只需恶意二进制文件存在于仓库根目录。仅影响 Windows 平台,截至发稿未修复,Cursor 官方未回应。
升级到 Cursor 3.0 可以解决 DuneSlide,但不能解决本次零日。任何在 Windows 上运行 Cursor 的用户都暴露在这个漏洞之下。
完全披露的抉择
在安全研究领域,协调披露(coordinated disclosure)是默认准则:先通知厂商,给足修复时间,等补丁就绪后再公开发布。这在厂商愿意或能够配合的情况下运转良好。
但当厂商停止沟通时,研究者面临一个两难选择:继续保持沉默,让用户在对风险的虚假安全感中运行有漏洞的软件;或者公开披露,让组织可以评估自身暴露面并采取补偿措施。
Mindgard 选择了后者。这家公司自身也偏好协调披露——其博客中写道,「目标始终是安全优先,公开第二」。但在七个月无回应后,继续隐瞒信息不再服务于用户,只服务于沉默。
这个问题触及了安全行业的一个结构性困境。过去二十年,研究者被反复鼓励使用官方漏洞报告渠道,而这些渠道的运转高度依赖厂商的响应能力和意愿。但随着 AI 产品的爆发式增长,安全报告的数量急剧攀升——其中许多是 AI 生成的、无法套入传统漏洞分类的新类型。与此同时,漏洞赏金平台的分类流程正在快速失灵。
Mindgard 在文中抛出了几个尖锐的问题:现代漏洞赏金计划是否正在过载?Cursor 是否因为 SpaceX 的收购传闻而无暇顾及用户安全?当数千亿美元的商业利益摆在面前时,用户安全还重要吗?
这些问题没有在 Cursor 那里得到回答。但它们在社区引发了不小的回响。
社区反应:赞同、质疑与更深层的问题
Hacker News 上,该帖获得了 315 个赞同和 155 条评论。社区的反应并非一边倒。
一部分评论认为这不是一个真正的安全漏洞。用户 Aperocky 写道:「如果软件可以执行任意代码/二进制文件,而你把恶意二进制文件放进去了,那是你自己需要安全/沙箱化工作区的问题,不是软件的问题。」这条评论获得了高赞,但也引来了激烈的反对。
另一派观点以用户 hack1312 为代表:「打开一个刚克隆的仓库,不应该自动执行其中的二进制文件。」用户 mort96 指出,Mindgard 在文章第一段就已经用两句话清楚地解释了漏洞——并非在刻意包装或夸大。
用户 lemagedurage 指出,问题可能更深层:「Cursor 并没有把克隆仓库和代码执行视为独立的安全边界。Cursor 默认关闭了 Workspace Trust,一个包含 .vscode/tasks.json 且设置了 runOn: folderOpen 的仓库本身就会执行任意代码。」
用户 app13 则从一个更大的视角分析了问题:「CVE 流程本身就坏掉了。HackerOne 和企业的漏洞披露计划被大量由 AI 生成的报告淹没——这些 AI 既产生了低质量的垃圾报告,也产生了真正高质量的报告,但从表面几乎无法区分。企业因此不再像以前那样回应。」
demosthanos 从企业侧回应:「我确认这种效应是真实的,但区分难度没有想象中那么大,因为企业有研究报告者没有的源代码访问权限。自动化分类系统应该是可行的。」但他也承认,信任问题早已超出了单个漏洞的范畴。
用户 _AzMoo 的评论只有一句话,耐人寻味:「这看起来像是故意的。」
对 AI 编程工具生态的冲击
这次事件对 AI 编程工具的信誉影响不限于 Cursor。过去两年,GitHub Copilot、Cursor、Windsurf 等工具以远超传统 IDE 的速度获取了开发者对代码库、终端、密钥和工作流的访问权限。
行业的叙事是「这些系统值得信任,因为它们提高了生产力」。但信任不应该因为「好用」而被授予——它应该通过行为来赢得。而这种行为,恰恰体现在一家公司如何回应安全报告、如何与受影响用户沟通、如何安排修复优先级上。
当估值 600 亿美元的公司对一个简单的任意代码执行漏洞沉默七个月,这个叙事就变得不自洽了。
对于 Windows 上的 Cursor 用户,Mindgard 提供了临时缓解措施:企业环境中使用 AppLocker 或 Windows App Control 策略,通过基于路径的拒绝规则阻止工作区目录下 git.exe 的执行(%USERPROFILE%\source\repos\*\git.exe);个人用户在补丁发布前,应在隔离的虚拟机或 Windows Sandbox 中打开不受信任的仓库。不建议依赖文件哈希黑名单——重新编译的二进制文件可以轻易绕过。
这个漏洞本身并不复杂,但它暴露的问题远不止一个 git.exe。在 AI 工具以前所未有的速度渗透开发环境的时代,安全流程的破损失效不应该成为常态。
本文的素材来自公开信息和社区讨论。如果你对这个话题有更深入的一手经验,欢迎指出文中的不足。
参考链接:
- Mindgard: Cursor 0day: When Full Disclosure Becomes the Only Protection Left
- byteiota: Cursor IDE RCE: Unpatched git.exe Flaw Goes Public
- Cyber Security News: Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click
- Hacker News 讨论帖(315 赞同,155 评论)
- daily.dev: Cursor 0day: When Full Disclosure Becomes the Only Protection Left