Cursor AI 代码编辑器 RCE 漏洞，恶意软件自动运行风险巨大！

---

近日，在cursor ai代码编辑器中发现一个远程代码执行（rce）漏洞，该漏洞会使恶意软件“自动运行”。当恶意代码存储库被打开时，此漏洞可让代码在用户机器上运行。

研究团队发现，该漏洞利用了这款流行编辑器的默认配置设置，绕过了典型的用户同意提示。其核心问题在于，Cursor默认的“工作区信任”功能处于禁用状态。在VS Code中，这项安全设置的作用是防止不受信任的代码自动执行。而Cursor关闭此功能后，攻击者就能构建一个包含特殊配置.vscode/tasks.json文件的恶意代码存储库。通过将runOptions.runOn参数设置为“folderOpen”，开发人员在Cursor中打开项目文件夹时，任务文件里的任何命令都会执行。

这一漏洞会把看似平常的操作，变成在用户安全上下文中静默执行代码的过程，且不会有任何警告或信任提示。攻击者可借此漏洞窃取敏感信息、修改本地文件，或者与命令与控制服务器建立连接。开发人员的计算机通常存有高权限凭证，入侵他们的笔记本电脑，攻击者能立刻获取云API密钥、个人访问令牌（PAT）和活跃的SaaS会话。

危险还不止于此。攻击者一旦获得最初的立足点，就可能转向连接的CI/CD管道和云基础设施。这种横向移动可能导致非人类身份（如服务账户）的泄露，而这些身份在整个组织环境中往往拥有广泛且强大的权限。也就是说，一个被埋设陷阱的存储库，就可能引发大范围的安全事件。

AI Word

一款强大的 AI 智能内容创作平台，致力于帮助用户高效生成高质量、原创且符合 SEO 规范的各类文章。

226 查看详情

运行默认配置的Cursor用户会直接受到此漏洞的影响。与之不同的是，启用了“工作区信任”的标准Visual Studio Code用户，面临的风险相对较低。因为该功能会阻止自动任务执行，直到用户明确授予对项目文件夹的信任。

针对此漏洞披露，Cursor方面表示，用户可手动启用“工作区信任”，并且更新的安全指南将很快发布。研究团队也为开发团队提供了即时强化建议。

用户应在Cursor中启用“工作区信任”，要求启动时提示，还可考虑将task.allowAutomaticTasks选项设置为“关闭”。此外，建议在安全、隔离的环境（如一次性容器或虚拟机）中打开所有未知存储库，以此防止潜在的代码执行。

以上就是Cursor AI 代码编辑器 RCE 漏洞，恶意软件自动运行风险巨大！的详细内容，更多请关注其它相关文章！

# 对决  # 杭州推荐网站优化与推广  # 8月份营销推广建议  # 门窗网站seo优化渠道  # 临沂关键词seo  # 企业网站建设网页推广  # 合肥网站营销推广  # 嘉兴seo优化效果  # 农夫山泉的营销推广  # emlog优化seo  # seo排名赚会跑路吗  # 他们的  # 的是  # 恶意代码  # 工作流程  # 开发人员  # cursor  # 设置为  # 工作流  # 自动运行  # 编辑器  # udio  # vs code  # 笔记本电脑  # ai  # 虚拟机  # 电脑  # 计算机  # json  # js  # vscode 

相关栏目： 【 Google疑问12 】 【 Facebook疑问10 】 【 优化推广96088 】 【 技术知识133117 】 【 IDC资讯59369 】 【 网络运营7196 】 【 IT资讯61894 】

相关推荐： 研究表明 GPT-4 模型具备自我纠错能力，有望推动 AI 代码进一步商业化  大疆 Air 3 无人机售价和实物照片曝光  普林斯顿大学推出 Infinigen AI 模型，生成真实自然环境 3D 场景  小艺将具备大模型能力，鸿蒙4加速AI普及之路  海南科技职业大学第25届中国机器人及人工智能大赛海南赛区荣获一等奖等114项  猿辅导推出Motiff，整合三大AI功能，助力UI设计生产力革新  如何用户外电源给无人机实现持久续航  阿里大文娱CTO郑勇：生成式AI将引发内容行业巨变，*制作机会挑战并存  创作音乐/音频的Meta开源AI工具AudioCraft，让用户通过文本提示实现  对Hugging Face开源模型精准投毒！LLM切脑后变身PoisonGPT，用虚假事实洗脑60亿人  XREAL发布新款硬件XREAL Beam投屏盒子：可悬停AR空间屏  12页线性代数笔记登GitHub热榜，还获得了Gilbert Strang大神亲笔题词  Bing 聊天机器人现支持在桌面端用语音提问  郭帆导演成功利用AI技术制作的《流浪地球3》预告片在央视热播，引发巨大反响  浪潮KaiwuDB：“快人一步” - 打造更懂物联网的数据库  专家解读国家网信办深度合成服务算法备案信息公告：不等于百度、阿里、腾讯等生成式AI产品获批  鸿蒙OS 4将实现AI大模型集成，余承东表示坚持AI辅助而非AI取代  击败LLaMA？史上超强「猎鹰」排行存疑，符尧7行代码亲测，LeCun转赞  京东 AI 大模型官宣 7 月 13 日发布，还有重磅合作  生成式AI爆发，亚马逊云科技持续专注创新，助力企业数字化转型  GPT-4最全攻略来袭！OpenAI官方发布，六个月攒下来的使用经验都在里面了  周鸿祎参加中美青年科技创新峰会，分享人工智能创新机遇  Dubbo负载均衡策略之 一致性哈希  昆仑万维与全球领先的元宇宙公司Meta达成商务合作，共同认可昆仑万维在XR领域的技术实力  多家欧洲企业签署公开信，批评欧盟 AI 法案草案限制产业发展  如布AI口袋学习机S12 将亮相综艺节目《好样的！国货》  OpenAI宣布在伦敦设立海外分部，要招揽“世界级人才”  AI技术改变*，新骗局来袭，*成功率接近100%  揭晓2025年玻尔兹曼奖：Hopfield网络创始人荣获奖项  Yann LeCun团队新研究成果：对自监督学习逆向工程，原来聚类是这样实现的  水路两栖艇、消防灭火机器人……这个展览“黑科技”抢眼  AI+游戏首度大范围公布实际应用成果，AI全面来临还有多远？  RoboNeo操作教程  下一个前沿：量子机器学习和人工智能的未来  科技有狠活｜时光修复师 ：用AI让昨日重现  OpenAI大神Karpathy最新分享：为什么OpenAI内部对AI Agents最感兴趣  苹果AI战略与微软谷歌大相径庭，到底是领先还是落后？  Databricks推出人工智能模型共享机制，可令开发者与公司“双赢”  关于开展“与AI共创未来”——2025年全国青少年人工智能创新实践活动的通知  中国移动主导创立元宇宙产业联盟，包括科大讯飞、芒果TV等在内，共24家成员  学而思网校推出首个基于自研大模型的《人工智能第一课》  美图秀秀发布七款 AI 工具：修图一样修视频、打造电影级上镜脸  上新7款产品，美图继续“蹭”AI  2025VR&AR显示技术峰会展示歌尔光学最新一代光学模组  无需标注数据，「3D理解」进入多模态预训练时代！ULIP系列全面开源，刷新SOTA  美版贴吧8000小组自爆停摆！拒绝数据被谷歌OpenAI白嫖，CEO被网友骂翻：背刺第三方应用  当孔子遇见AI｜尼山的“数字”  人形机器人概念集体爆发，能买吗？  世界人工智能大会|“AI领航，共筑未来”高端保险论坛成功举办  联想浏览器引入小乐 AI 助手，成功接入百度文心一言大模型，经过实测证实 

 2025-12-21