最近,安全公司 Mindgard 在对 Cursor IDE 进行安全研究时,发现了一项令人震惊的0day 漏洞。这漏洞的严重性在于,当用户在 Windows 系统上打开一个包含恶意 `git.exe` 的仓库时,Cursor IDE 会在毫无提示的情况下自动执行该文件,甚至不需要用户的任何交互。这一问题的出现引发了对 Cursor 安全实践的广泛质疑。
据了解,Cursor IDE 作为一款广受欢迎的 AI 辅助开发环境,拥有超过700万活跃用户和5万多家公司在使用。但在面对这样一个明显的安全隐患时,Cursor 团队的响应却显得极其缓慢。Mindgard 首次报告该漏洞是在2025年12月15日,之后的六个月里,他们多次跟进,却始终未能得到有效的修复反馈。令人不解的是,在此期间,Cursor 仍然持续发布新版本,但漏洞却迟迟未被解决。