马斯克旗下Cursor存安全漏洞,任意代码执行7个月未修复
7月15日,一条关于Cursor的安全报告引起了业内的关注。Mindgard发布博文,披露了一个存在于马斯克旗下AI编程工具Cursor中的安全漏洞——该漏洞可被用于执行任意代码,更令人担忧的是,在向官方通报七个月后,这个问题仍未得到修复。 Cursor本身是一款带有AI编程辅助功能的代码编辑器,主
7月15日,一条关于Cursor的安全报告引起了业内的关注。Mindgard发布博文,披露了一个存在于马斯克旗下AI编程工具Cursor中的安全漏洞——该漏洞可被用于执行任意代码,更令人担忧的是,在向官方通报七个月后,这个问题仍未得到修复。

Cursor本身是一款带有AI编程辅助功能的代码编辑器,主要用于打开、浏览和编辑软件项目代码。今年6月,它被马斯克旗下的SpaceX收购,交易估值达到600亿美元(按当前汇率约合4069.22亿元软妹币)。对于开发者来说,这无疑是一个常用的、甚至有些依赖的工具,但如今暴露出的安全问题,却足以让人警惕。
从披露的技术细节来看,这个漏洞的触发条件比想象中更“安静”。整个过程无需用户点击任何按钮,无需向AI下达任何指令,甚至连警告或确认弹窗都不会出现。攻击者只需要在仓库顶层放置一个恶意伪造的git.exe文件,Cursor就会优先甚至直接执行该文件,而非调用系统原生的Git程序。
为了验证这一概念,Mindgard做了一个简单的演示:将Windows系统自带的计算器程序重命名为git.exe,并放入一个项目仓库中。当使用Cursor打开这个仓库后,计算器被立即启动;如果仓库持续保持打开状态,计算器还会反复运行,生成多个窗口。这虽然只是一个无害的概念验证,但足以说明问题——如果攻击者换上一个真正的恶意程序,后果将不堪设想。
更令人遗憾的是,这个漏洞的发现和报告时间并不晚。Mindgard早在2025年12月15日就向Cursor的安全团队提交了详细报告。然而,直到2026年4月30日,该问题在Windows版Cursor 3.2.16上仍然可以被成功复现。Mindgard在2026年2月至4月间多次尝试联系,但没有得到任何有效的回应。即便在2026年6月1日,Mindgard明确表达了公开披露的意向,官方修复状态依然不明确。
无奈之下,Mindgard选择在2026年7月14日正式公开了漏洞细节。对于用户而言,在官方修复之前,使用Cursor打开任何不信任的代码仓库,都意味着潜在的风险——尤其是那些包含了可能被篡改的Git相关文件的仓库。这不仅仅是一个技术问题,更是对安全响应机制的一次严肃拷问。
你是一名 AI 行业编辑,请围绕下面这条热点输出一份资讯解读:
热点:马斯克旗下Cursor存安全漏洞,任意代码执行7个月未修复要求:
1. 先用一句话解释这条热点在讲什么
2. 再总结它为什么重要
3. 说明会影响哪些 AI 产品或内容方向
4. 最后给出 3 个适合资讯站使用的标题
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
相关热点通过缺口扫描提示法、反事实压力测试和三栏对比表三种结构化提示,能有效引导NotebookLM精准提取资料中隐含的限制条件、实施障碍或未解决问题,避免模型复述或模糊总结,提升信息提取的准确性和深度。
NotebookLM的Brief简报版音频概览可在30秒内生成,剔除推导过程,仅保留结论与关键数据,开场直接输出断言式要点。需上传源文件后在AudioOverview卡片设置Brief模式,生成后验证前15秒是否直接抛出核心结论,免费版需生成前设好模式。
做知识讲解视频时,AI配音需将文案切成45-65字的呼吸段落,利用换行实现自然停顿。选用“课堂讲解”类预设音色,手动用顿号、破折号标注重读。删去“也就是说”等无效连接词后重新生成配音,确保停顿落在逻辑切口上。
搜狐简单AI生成的作品可发小红书,但需遵守2026年4月27日新规:避免AI造假图、低质图、可识别肖像、未授权品牌及违禁词。使用专属模板、强化视觉焦点并动态测试优化封面,发布前需标注“AI辅助创作”以防限流。
- 日榜
- 周榜
- 月榜
热点快看
