Cursor IDE致命0day漏洞 打开恶意仓库即可执行代码
时间:2026-07-19 | 作者:318050 | 阅读:0说起来,最近安全圈有个发现,让不少开发者捏了把汗——安全公司 Mindgard 在 Cursor IDE 里挖出了一个 0day 漏洞,而且问题的严重程度,远超想象。
简单来说,如果你在 Windows 系统上打开一个仓库,里面但凡藏着个恶意 `git.exe`,Cursor 就会在没有任何提示、不需要你点任何按钮的情况下,直接把它给执行了。这相当于在自家门口放了一把自动上膛的枪,而门锁却是坏的。
要知道,Cursor 可不是什么小众工具。作为一款大热的 AI 辅助开发环境,它手里握着超过 700 万活跃用户和 5 万多家企业客户。这么庞大的用户基数,一旦漏洞被利用,后果可想而知。
但更让人头疼的是 Cursor 团队的反应速度。Mindgard 早在 2025 年 12 月 15 日就首次报告了这个漏洞,之后的六个月里,他们反复跟进,到头来却始终没等来一个有效修复。令人费解的是,这半年间 Cursor 新版本照发不误,唯独这个安全漏洞被晾在了一边。
这个漏洞的原理,其实简单到让人无语。Cursor 在加载项目时,会在一系列路径里搜索 Git 二进制文件,而其中一个搜索位置,就是项目根目录本身。换句话说,攻击者只要把恶意 `git.exe` 扔进仓库,Cursor 就会自动把它捡起来执行。为了演示这个漏洞,Mindgard 甚至把 Windows 计算器重命名为 `git.exe` 放进去,结果 Cursor 真就一次次调用这个程序,搞得计算器窗口层层叠叠,场面一度混乱不堪。
面对这种情况,眼下最要紧的是赶紧行动起来。对 Windows 企业用户来说,管理员可以考虑用 AppLocker 这类工具,直接禁止从工作区目录执行任何可疑的可执行文件。个人用户的话,在官方修复补丁出来之前,最稳妥的做法是只在隔离的虚拟机或沙盒环境里打开不信任的仓库,别拿自己的系统开玩笑。
说到底,这件事暴露出的是 Cursor 在安全管理上的一个深层软肋。它提醒我们,在工具越来越智能、协作越来越便捷的今天,安全沟通和用户保护反倒成了最容易被忽视的环节。网络安全环境只会越来越复杂,开发者们除了紧盯代码质量,也必须时刻审视自己手里的工具,是不是真的靠得住。
来源:整理自互联网
免责声明:文中图文均来自网络,如有侵权请联系删除,心愿游戏发布此文仅为传递信息,不代表心愿游戏认同其观点或证实其描述。
相关文章
更多-
- 伊莫握爪测试开荒新手必抓精灵推荐攻略
- 时间:2026-07-19
-
- 怨楼第一章通关攻略详细步骤和技巧大全
- 时间:2026-07-19
-
- 我要当老祖灵宠词条汇总
- 时间:2026-07-19
-
- 经常更换食用油吃真的更健康吗
- 时间:2026-07-19
-
- GamecityHamburg启动第二轮原型资金助力中小型游戏开发
- 时间:2026-07-19
-
- 年7月游戏行业全球高管与业务人事变动汇总
- 时间:2026-07-19
-
- 伦敦游戏节2027年迁至市中心 业务设计中心成主展馆
- 时间:2026-07-19
-
- 《ClairObscur:Expedition33》正式荣获开发者之星2026年度最佳游戏大奖殊荣
- 时间:2026-07-19
精选合集
更多大家都在玩
热门话题
大家都在看
更多-
- 火狐浏览器批量导出所有Cookies数据的方法
- 时间:2026-07-19
-
- Safari低电量模式网页动画卡顿解决方案
- 时间:2026-07-19
-
- 宙斯浏览器多线程解析CPU占用过高解决指南
- 时间:2026-07-19
-
- Edge浏览器Ctrl+Shift+T快捷键失效无法恢复标签页的修复方法
- 时间:2026-07-19
-
- Edge浏览器脚本运行超时导致页面假死怎么办
- 时间:2026-07-19
-
- macOS Safari启动慢CPU占用高修复方法
- 时间:2026-07-19
-
- 火狐浏览器官网网页版入口及访问方法全攻略
- 时间:2026-07-19
-
- 夸克浏览器视频无法投屏电视的解决方法
- 时间:2026-07-19