Cursor 0day 漏洞数月未修复,Mindgard 决定完全披露保障用户安全
核心要点加载项目后Cursor 会尝试在包括当前工作区在内的多个位置查找 Git 二进制文件。通过在根目录创建一个包含恶意 git.exe 的仓库该 IDE 会在无需用户交互和提示的情况下执行它并且会按一定节奏反复执行。Cursor 用户的应对措施企业/托管 Windows 系统作为临时缓解措施管理员可在托管 Windows 系统上使用 AppLocker 或 Windows 应用控制策略禁止从开发者工作区目录执行受影响的可执行文件名。建议使用基于路径的拒绝规则范围限定在仓库/工作区根目录例如 %USERPROFILE%\source\repos\*\filename.exe而非基于哈希的规则因为攻击者提供的二进制文件哈希值可能不同。Windows 没有提供通用的内置规则来仅阻止特定父进程启动的任意子可执行文件因此通常需要 EDR 或自定义端点安全产品来实现父进程感知的强制策略。个人系统在 IDE 修复之前仅在隔离的虚拟机、Windows 沙盒或其他一次性环境中打开不可信的仓库。不要依赖文件哈希黑名单来解决此问题。对简单问题的奇怪回应此次披露最令人困惑的是 Cursor 没有回应。在七个月的时间里Mindgard 通过各种渠道多次尝试沟通。最初按照该公司发布的 [security.txt 文件](https://cursor.com/.well-known/security.txt) 中的说明直接将漏洞报告发送到了 Cursor 的安全报告邮箱。未收到确认信息后又进行了跟进。还通过 [公开渠道](https://www.linkedin.com/posts/aaronportnoy_can-anyone-put-me-in-touch-with-a-security-share-7416965166954868736-agkL/) 试图找到合适的安全联系人。最终Cursor 的首席信息安全官CISO回复并承认内部自动化故障导致预期的 HackerOne 工作流程未能正常进行。被邀请加入私人漏洞赏金计划并重新提交了报告。报告最初被标记为“信息性”且超出范围而关闭。对此提出质疑后HackerOne 重新开启了报告重现了问题并确认已将详细信息传达给 Cursor。但之后一切都停止了。请求更新进展没有得到回复多次跟进也没有回应通过 HackerOne 进行升级也没有实质性进展直接联系 Cursor 领导层也得到同样的结果没有回应。几个月过去了没有迹象表明修复工作已经开始工程团队正在积极调查该问题或者受影响的用户会被告知风险。与此同时Cursor 仍在发布新版本。超过 70 个版本发布新功能不断推出平台持续发展但漏洞依然存在多次请求更新状态也没有得到有意义的回复。漏洞详情这个技术问题本身非常简单。加载项目时Cursor 会尝试在多个位置定位 Git 二进制文件其中一个位置就是工作区本身。如果攻击者在仓库根目录放置一个恶意的 git.exeCursor 在路径解析逻辑中会自动执行它不会发出警告、请求批准甚至不会提示即将运行来自仓库的可执行内容。为了安全地演示这个问题Mindgard 使用了一个无害的概念验证将 Windows 计算器应用程序重命名为 git.exe并放在仓库根目录。只需在该仓库上启动 Cursor就足以执行它。下面的截图展示了结果。多个计算器窗口并非研究人员手动打开的。在项目保持打开状态时Cursor 会继续重新执行重命名后的二进制文件随着时间推移会出现更多实例。换句话说这不是一次性的启动事件也不是用户触发的操作。在正常运行期间Cursor 会反复调用工作区内的可执行内容。在实际攻击场景中计算器程序会被攻击者控制的代码所取代。根据 [Sysinternals 进程监视器日志](https://learn.microsoft.com/en-us/sysinternals/downloads/procmon) 显示最后一次验证是在 2026 年 4 月 30 日针对 Windows 上的 Cursor 3.2.16 版本该漏洞会导致在当前用户权限下执行任意代码。此次披露为何不同大多数协调披露遵循熟悉的模式报告漏洞。开始对话。讨论严重程度。工程团队进行调查。开发修复方案。保护用户。公开披露。这个过程之所以有效是因为各方有一个共同目标降低风险。不幸的是这个案例从未达到降低风险的阶段。七个月过去了供应商没有任何回应现在是时候质疑这个简单但影响重大的漏洞是否会得到修复了。安全研究人员理解修复需要时间特别是在大型且快速发展的软件平台中。然而当几个月过去了没有沟通、更新或可见的进展时耐心就变得难以维持。用户应该得到基本的保护免受基本威胁。当供应商停止沟通却仍在分发受影响的软件时研究人员最终会面临一个艰难的决定保持沉默让用户在虚假的安全假设下继续使用。或者公开披露问题让组织能够做出明智的风险决策。认为用户有权获得这些信息。完全披露是漏洞披露的“终极手段”只在其他所有途径都失败的情况下使用。它存在是有原因的当供应商停止沟通时用户不应被蒙在鼓里。当创新不再关注安全时会怎样最明显也是最简单的问题是为什么这个问题还没有得到修复这个漏洞既不隐蔽也不难重现执行路径简单影响严重。Cursor 平淡的回应引发了更广泛的问题现代漏洞赏金计划是否不堪重负漏洞赏金计划是否因越来越强大的模型如 Mythos而不堪重负Cursor 是否因专注于收购 SpaceX 而将用户安全置于次要位置当涉及数十亿美元时用户安全是否还重要安全行业多年来一直鼓励研究人员使用协调披露渠道。这些渠道依赖于响应迅速的分类流程以及供应商有能力评估并处理收到的报告。然而随着 AI 产品的激增安全发现的数量急剧增加。其中许多发现是新颖的并不完全符合传统的漏洞类别。与此同时依赖了近二十年的分类流程正在迅速失效因为它们所基于的核心假设在新兴的 AI 世界中逐渐瓦解。如果披露渠道不堪重负行业应该坦诚相告。研究人员、客户和用户有权知道真相。遗憾的是随着优先级问题变得越来越棘手情况可能并非如此。和许多公司一样Cursor 经历了巨大的增长、获得了大量投资并受到行业的广泛关注。该公司正在迅速扩张但从外部来看很难将这种增长与一个简单的任意代码执行漏洞缺乏可见进展的情况调和起来。快速增长意味着有责任解决安全问题同时也需要将用户视为有价值的客户而不是试验品。用户信任生产软件让其访问源代码、凭证、专有知识产权以及越来越多的自主功能。信任需要问责而问责需要沟通。当用户、研究人员和披露平台花了几个月时间都无法获得基本的进展更新时这种问责就变得难以看到或相信了。更大的问题此次披露不仅仅关乎一个名为 git.exe 的可执行文件更关乎软件中的信任问题。AI 公司经常要求用户给予前所未有的代码、仓库、终端、机密和工作流访问权限而这些权限在建议和行动之间的界限越来越模糊。行业的说法是这些系统值得信任因为它们提高了生产力但历史一次又一次地告诉我们信任不应仅仅因为有用就给予而应该通过实际行为来赢得。这种行为体现在公司如何回应安全报告、与受影响的用户沟通以及如何优先处理修复工作。当简单的漏洞数月未得到解决且没有有意义的沟通时用户就不得不重新评估对这种信任的假设。为何进行完全披露和许多安全研究团队一样Mindgard 更倾向于协调披露。目标始终是安全第一宣传第二。但协调披露只有在有协调的情况下才有效。首次披露七个月后没有看到任何迹象表明用户得到了保护、修复工作正在进行或者受影响的组织得到了通知。在这个时候隐瞒信息对用户没有好处只会带来沉默。因此Mindgard 决定公布这个漏洞的全部细节。使用 Cursor 的组织应该有机会评估自身的风险实施补偿控制措施并就其安全态势做出明智的决策。用户安全必须放在首位即使披露会带来不适。时间线日期行动2025 年 12 月 15 日Mindgard 发现漏洞2025 年 12 月 15 日向 security-reportscursor.com 报告漏洞2025 年 12 月 18 日跟进请求确认收到报告2026 年 1 月 13 日Mindgard 在 LinkedIn 上发布帖子请求 Cursor 的联系人协助。一名用户在评论中提及了 Cursor 的 CISO2026 年 1 月 15 日Cursor 的 CISO 回复邮件线程称本应邀请加入 HackerOne 私人赏金计划的自动化流程失败。CISO 手动邀请 Mindgard 加入赏金计划2026 年 1 月 15 日通过 HackerOne 提交漏洞报告2026 年 1 月 16 日报告最初被标记为“信息性”且超出范围而关闭2026 年 1 月 16 日Mindgard 对该决定提出质疑2026 年 1 月 16 日成功重现问题后报告重新开启2026 年 1 月 20 日HackerOne 确认已将报告传达给 Cursor2026 年 2 月 16 日请求更新进展未收到回复2026 年 3 月 3 日请求更新进展未收到回复2026 年 3 月 17 日直接联系 Cursor 的 CISO 请求更新2026 年 3 月 18 日HackerOne 表示已联系 Cursor2026 年 4 月 1 日请求更新进展未收到回复2026 年 4 月 1 日HackerOne 确认 Cursor 没有更新信息2026 年 6 月 1 日Mindgard 告知 HackerOne 有意公开披露2026 年 6 月 3 日HackerOne 提供披露指导2026 年 7 月 14 日发布此博客文章开始保障你的 AI 系统安全了解 Mindgard 如何发现并修复你的 AI 代理和系统中的可利用 AI 风险。平台平台概述AI 发现与侦察AI 红队测试AI 评估AI 运行时保护进攻性安全模型扫描AI 治理与合规AI 学院用例服务服务概述学习博客披露信息客户案例文档资源AI 安全比较公司关于我们预约演示活动招聘信息联系我们条款与条件隐私政策法律声明