「Cursor 0day:当沉默让完全披露成为用户最后的防线」

「Cursor 0day:当沉默让完全披露成为用户最后的防线」

Cursor0day漏洞披露RCEIDE 安全AI 编程工具完全披露

数据源:HN + Lobsters

2026 年 7 月 14 日,安全公司 Mindgard 发布了一篇博客,公开了 Cursor IDE 中一个已存在超过七个月的远程代码执行漏洞。不是需要精巧利用链的高级攻击,不是 AI prompt injection 的变种——只是把恶意 git.exe 放进项目根目录,Cursor 就会在你打开项目的瞬间自动执行它。没有弹窗,没有确认,没有警告。你甚至不知道它跑了。

这篇文章同时是一封写给用户和行业的公开信:当一个估值 600 亿美元、拥有 700 万活跃用户的 AI 编程工具,对一份提交了七个月的安全报告选择沉默时,研究者还能做什么?

Cursor 零日漏洞概念验证:计算器被重命名为 git.exe 后自动触发

一个简单到让人不安的漏洞

漏洞本身不需要复杂解释。Cursor 在加载项目时,会在多个路径中寻找 Git 二进制文件——而工作区根目录就是其中之一。如果仓库里恰好有个 git.exe,它会被优先选中,然后被 Cursor 反复调用,用于执行如 git rev-parse --show-toplevel 这样的常规操作。

Mindgard 的研究员 Aaron Portnoy 用一个温和的方式做了概念验证:将 Windows 自带的计算器程序重命名为 git.exe 放入仓库,打开 Cursor,计算器窗口弹了出来,并随着 Cursor 的运行不断弹出新的窗口。在真实攻击场景中,计算器可以被替换为任意攻击者代码,以当前用户的权限运行。

Process Monitor 的日志清晰地记录了整个过程(以下为 Sysinternals 日志节选,最后验证日期为 2026 年 4 月 30 日,针对 Cursor 3.2.16):

4:25:12.6209706 PM  Cursor.exe  54880  Process Create  c:\Users\...\git.exe  SUCCESS  PID: 48972, Command line: git rev-parse --show-toplevel

攻击路径不需要高级社工。开发者克隆一个 GitHub 仓库、接收客户发来的代码压缩包,或者在代码评审中打开同事分享的项目——只要里面有 git.exe,它就自动运行。这个漏洞不依赖 prompt injection、模型操控、越狱、内存破坏或是任何精巧的攻击链。它的简洁程度,恰好是它最令人担忧的地方。

七个月的沉默:一场单方面的对话

Mindgard 在 2025 年 12 月 15 日发现并首次报告了该漏洞。以下是后续七个月的时间线:

  • 2025 年 12 月 15 日:漏洞发现并通过 Cursor 官方 security.txt 中列出的邮箱 [email protected] 报告。
  • 2025 年 12 月 18 日:跟进邮件请求确认收悉,无回应。
  • 2026 年 1 月 13 日:Mindgard 在 LinkedIn 发帖公开寻找 Cursor 安全联系人。用户在评论区 @ 了 Cursor 的 CISO。
  • 2026 年 1 月 15 日:Cursor CISO 回复邮件,承认内部自动化流程故障导致未能自动触发 HackerOne 工作流。Mindgard 被手动邀请至私有漏洞赏金计划。
  • 2026 年 1 月 15 日:漏洞通过 HackerOne 重新提交。
  • 2026 年 1 月 16 日:报告被关闭,标记为「Informative」(信息性)且超出范围。Mindgard 提出质疑。
  • 2026 年 1 月 16 日:HackerOne 重新打开报告,确认可复现,并将详情交付给 Cursor。
  • 2026 年 1 月 20 日:HackerOne 确认交付完成。

此后,所有跟进请求均杳无音信。2 月 16 日、3 月 3 日、3 月 17 日、4 月 1 日——每次跟进都石沉大海。HackerOne 方面反复确认 Cursor 已收到信息,但没有任何实质性回应。

到 2026 年 6 月 1 日,Mindgard 正式通知 HackerOne 将公开披露,Cursor 仍未回应。7 月 14 日,博客发布。

在这七个月里,Cursor 发布了超过 70 个新版本(累计 197 个版本),功能不断迭代,产品持续进化,但这个漏洞始终存在于最新版本中。用 Mindgard 原文的话说:「对话已经从漏洞披露转向了一个更令人不安的问题:安全流程到底是干什么用的?」

不是 DuneSlide——区分两个独立漏洞

如果读者在 4 月份听说过 Cursor 的漏洞,那很可能是 DuneSlide(CVE-2026-50548 和 CVE-2026-50549),而非此次披露的零日。这两个漏洞需要区分清楚:

  • DuneSlide:由 Cato AI Labs 在 2026 年 7 月 1 日披露,涉及 prompt injection 绕过 Cursor 的终端沙箱,CVSS 评分 9.8,影响所有平台。已随 Cursor 3.0 于 2026 年 4 月 2 日修复。
  • 本次零日:无需 prompt injection,只需恶意二进制文件存在于仓库根目录。仅影响 Windows 平台,截至发稿未修复,Cursor 官方未回应。

升级到 Cursor 3.0 可以解决 DuneSlide,但不能解决本次零日。任何在 Windows 上运行 Cursor 的用户都暴露在这个漏洞之下。

完全披露的抉择

在安全研究领域,协调披露(coordinated disclosure)是默认准则:先通知厂商,给足修复时间,等补丁就绪后再公开发布。这在厂商愿意或能够配合的情况下运转良好。

但当厂商停止沟通时,研究者面临一个两难选择:继续保持沉默,让用户在对风险的虚假安全感中运行有漏洞的软件;或者公开披露,让组织可以评估自身暴露面并采取补偿措施。

Mindgard 选择了后者。这家公司自身也偏好协调披露——其博客中写道,「目标始终是安全优先,公开第二」。但在七个月无回应后,继续隐瞒信息不再服务于用户,只服务于沉默。

这个问题触及了安全行业的一个结构性困境。过去二十年,研究者被反复鼓励使用官方漏洞报告渠道,而这些渠道的运转高度依赖厂商的响应能力和意愿。但随着 AI 产品的爆发式增长,安全报告的数量急剧攀升——其中许多是 AI 生成的、无法套入传统漏洞分类的新类型。与此同时,漏洞赏金平台的分类流程正在快速失灵。

Mindgard 在文中抛出了几个尖锐的问题:现代漏洞赏金计划是否正在过载?Cursor 是否因为 SpaceX 的收购传闻而无暇顾及用户安全?当数千亿美元的商业利益摆在面前时,用户安全还重要吗?

这些问题没有在 Cursor 那里得到回答。但它们在社区引发了不小的回响。

社区反应:赞同、质疑与更深层的问题

Hacker News 上,该帖获得了 315 个赞同和 155 条评论。社区的反应并非一边倒。

一部分评论认为这不是一个真正的安全漏洞。用户 Aperocky 写道:「如果软件可以执行任意代码/二进制文件,而你把恶意二进制文件放进去了,那是你自己需要安全/沙箱化工作区的问题,不是软件的问题。」这条评论获得了高赞,但也引来了激烈的反对。

另一派观点以用户 hack1312 为代表:「打开一个刚克隆的仓库,不应该自动执行其中的二进制文件。」用户 mort96 指出,Mindgard 在文章第一段就已经用两句话清楚地解释了漏洞——并非在刻意包装或夸大。

用户 lemagedurage 指出,问题可能更深层:「Cursor 并没有把克隆仓库和代码执行视为独立的安全边界。Cursor 默认关闭了 Workspace Trust,一个包含 .vscode/tasks.json 且设置了 runOn: folderOpen 的仓库本身就会执行任意代码。」

用户 app13 则从一个更大的视角分析了问题:「CVE 流程本身就坏掉了。HackerOne 和企业的漏洞披露计划被大量由 AI 生成的报告淹没——这些 AI 既产生了低质量的垃圾报告,也产生了真正高质量的报告,但从表面几乎无法区分。企业因此不再像以前那样回应。」

demosthanos 从企业侧回应:「我确认这种效应是真实的,但区分难度没有想象中那么大,因为企业有研究报告者没有的源代码访问权限。自动化分类系统应该是可行的。」但他也承认,信任问题早已超出了单个漏洞的范畴。

用户 _AzMoo 的评论只有一句话,耐人寻味:「这看起来像是故意的。」

对 AI 编程工具生态的冲击

这次事件对 AI 编程工具的信誉影响不限于 Cursor。过去两年,GitHub Copilot、Cursor、Windsurf 等工具以远超传统 IDE 的速度获取了开发者对代码库、终端、密钥和工作流的访问权限。

行业的叙事是「这些系统值得信任,因为它们提高了生产力」。但信任不应该因为「好用」而被授予——它应该通过行为来赢得。而这种行为,恰恰体现在一家公司如何回应安全报告、如何与受影响用户沟通、如何安排修复优先级上。

当估值 600 亿美元的公司对一个简单的任意代码执行漏洞沉默七个月,这个叙事就变得不自洽了。

对于 Windows 上的 Cursor 用户,Mindgard 提供了临时缓解措施:企业环境中使用 AppLocker 或 Windows App Control 策略,通过基于路径的拒绝规则阻止工作区目录下 git.exe 的执行(%USERPROFILE%\source\repos\*\git.exe);个人用户在补丁发布前,应在隔离的虚拟机或 Windows Sandbox 中打开不受信任的仓库。不建议依赖文件哈希黑名单——重新编译的二进制文件可以轻易绕过。

这个漏洞本身并不复杂,但它暴露的问题远不止一个 git.exe。在 AI 工具以前所未有的速度渗透开发环境的时代,安全流程的破损失效不应该成为常态。

本文的素材来自公开信息和社区讨论。如果你对这个话题有更深入的一手经验,欢迎指出文中的不足。

参考链接:

  • Mindgard: Cursor 0day: When Full Disclosure Becomes the Only Protection Left
  • byteiota: Cursor IDE RCE: Unpatched git.exe Flaw Goes Public
  • Cyber Security News: Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click
  • Hacker News 讨论帖(315 赞同,155 评论)
  • daily.dev: Cursor 0day: When Full Disclosure Becomes the Only Protection Left