FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概述：恶意代码库自动运行机制

Oasis安全公司发现主流AI代码编辑器Cursor存在设计缺陷，当开发者打开包含恶意代码库的文件夹时，攻击者可实现静默代码执行。根据周三披露的技术细节，该漏洞源于Cursor允许特定项目设置自动触发任务运行，且默认不向用户发出警告。

安全专家对此并不意外，认为这是"易用性压倒安全默认配置"的又一典型案例。Fenix24首席信息安全官Heath Renfrow指出："由于Cursor默认禁用工作区信任(Workspace Trust)功能，简单的'打开文件夹'操作可能导致开发者机器完全沦陷。"Cequence Security首席信息安全官Randolph Barr补充道："当产品进入高速增长期，'默认安全'原则往往为发展速度让路。"

作为领先的"氛围编程(vibe coding)"平台，Cursor能将自然语言提示转化为可执行代码，在提升效率的同时也带来新的企业安全风险。成功利用该漏洞的攻击者可获取开发者环境中的敏感数据，包括API密钥、云凭证和SaaS会话信息。

漏洞原理：自动执行导致全域风险

该漏洞的根源在于Cursor默认关闭工作区信任功能，使得任务无需用户明确批准即可自动运行。攻击者通过在公开代码库中植入特制的".vscode/tasks.json"文件，即可在文件夹打开时自动执行恶意任务——整个过程无需任何提示或警告。这种执行路径意味着，开发者仅浏览项目就可能中招。

Oasis研究人员在报告中指出："打开特制工作区可在当前用户权限下执行命令，继承文件系统、网络和凭证访问权限。攻击者可窃取环境变量和本地存储的密钥（令牌、API、配置文件），建立直达企业全域的未授权访问通道。"

Bugcrowd首席战略与信任官Trey Ford将该漏洞比作可移动存储设备中的"autorun.inf"传统漏洞，只需插入介质就能触发恶意程序运行。他强调："使用这类平台的开发和运维团队通常拥有系统、基础设施、知识产权及战略合作伙伴关系的高级访问权限——如此简单的入侵途径实在令人难堪。"

值得注意的是，该漏洞不影响Visual Studio Code。研究人员解释："VS Code默认启用工作区信任功能，在用户明确信任文件夹前会拦截高风险钩子（任务、调试预启动任务及某些扩展激活）。而Cursor默认禁用此保护机制，导致'folderOpen'等自动触发行为无需确认即可执行。"

安全债务：Cursor生态的累积风险

此次披露并非孤立事件。今年早些时候，Cursor已遭受CurXecute和MCPoison等攻击活动影响，针对macOS用户的npm包篡改事件也时有发生。Barr警告称".vscode/tasks.json问题只是整体威胁拼

参考来源：

Cursor’s autorun lets hackers execute arbitrary code

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）