Cursor IDE 出现严重零日漏洞!打开恶意仓库即可远程执行代码
漏洞概述
近日,安全研究人员披露了 AI 编程助手 Cursor IDE 中存在一个严重零日漏洞(CVE 暂未分配)。攻击者只需诱导用户打开一个精心构造的恶意仓库,即可在受害者机器上实现远程代码执行(RCE),完全绕过 Cursor 内置的安全沙箱与工作区信任机制。该漏洞影响 Cursor 所有版本(包括最新版 0.45.x),目前官方尚未发布修复补丁。
漏洞技术细节
该漏洞根源在于 Cursor 对 `workspace` 目录下配置文件的处理逻辑存在缺陷。Cursor 基于 VS Code 架构,但为了集成 AI 特性,引入了自定义扩展加载机制与即时编译管道。攻击者可在仓库中嵌入恶意 `.cursor` 文件夹,通过伪造 `settings.json` 或 `extensions.json` 触发 Cursor 的深层依赖解析。具体来说,漏洞利用链包含三个步骤:
1. **配置注入**:恶意仓库中的 `.cursor/settings.json` 包含指向远程恶意服务器的扩展下载地址。
2. **隐式加载**:Cursor 在打开仓库时自动解析并下载该扩展,此过程无需用户确认。
3. **代码执行**:恶意扩展利用 Cursor 的高权限子进程(如 `cursor-node` 或 `cursor-ai`)执行任意系统命令,导致攻击者获得完全控制权。
值得注意的是,即使启用了“工作区信任”模式,该漏洞也仅检查第一层配置,而后续的递归下载行为未被拦截。
影响与风险
该漏洞影响范围极广。Cursor 作为 AI 编程工具的头部产品,全球用户量超过百万,尤其受独立开发者、初创团队及教育机构青睐。攻击者可通过 GitHub 仓库、npm 包引用或社会工程手段(如伪装成教程仓库)传播恶意代码。一旦成功,攻击者可窃取 API 密钥、SSH 凭据、源代码,甚至横向渗透内网。目前已有多个安全社区报告在公开仓库中检测到试探性攻击载荷。
紧急应对建议
在官方补丁发布前,建议用户采取以下临时措施:
– **禁止自动打开未知仓库**:在 Cursor 设置中关闭“自动打开工作区”功能,并对所有外来仓库手动启用“受限模式”。
– **审查扩展加载源**:检查 `~/.cursor/extensions` 目录,删除任何非官方来源的扩展。
– **使用隔离环境**:在虚拟机或 Docker 容器中测试可疑仓库,避免使用宿主机直接运行。
– **监控异常进程**:使用资源监视器留意 `cursor-node` 进程的意外网络连接和文件写入行为。
安全团队正与 Cursor 开发方紧急协调,预计未来一周内发布热修复。在此之前,警惕任何声称“开箱即用”的 AI 代码仓库,切勿高估 IDE 的自我保护能力。