Cursor代码编辑器默认配置漏洞可导致任意代码执行

漏洞概述：恶意代码库自动运行机制

Oasis安全公司发现主流AI代码编辑器Cursor存在设计缺陷，当开发者打开包含恶意代码库的文件夹时，攻击者可实现静默代码执行。根据周三披露的技术细节，该漏洞源于Cursor允许特定项目设置自动触发任务运行，且默认不向用户发出警告。

安全专家对此并不意外，认为这是"易用性压倒安全默认配置"的又一典型案例。Fenix24首席信息安全官Heath Renfrow指出："由于Cursor默认禁用工作区信任(Workspace Trust)功能，简单的'打开文件夹'操作可能导致开发者机器完全沦陷。"Cequence Security首席信息安全官Randolph Barr补充道："当产品进入高速增长期，'默认安全'原则往往为发展速度让路。"

作为领先的"氛围编程(vibe coding)"平台，Cursor能将自然语言提示转化为可执行代码，在提升效率的同时也带来新的企业安全风险。成功利用该漏洞的攻击者可获取开发者环境中的敏感数据，包括API密钥、云凭证和SaaS会话信息。

漏洞原理：自动执行导致全域风险

该漏洞的根源在于Cursor默认关闭工作区信任功能，使得任务无需用户明确批准即可自动运行。攻击者通过在公开代码库中植入特制的".vscode/tasks.json"文件，即可在文件夹打开时自动执行恶意任务——整个过程无需任何提示或警告。这种执行路径意味着，开发者仅浏览项目就可能中招。

Oasis研究人员在报告中指出："打开特制工作区可在当前用户权限下执行命令，继承文件系统、网络和凭证访问权限。攻击者可窃取环境变量和本地存储的密钥（令牌、API、配置文件），建立直达企业全域的未授权访问通道。"

Bugcrowd首席战略与信任官Trey Ford将该漏洞比作可移动存储设备中的"autorun.inf"传统漏洞，只需插入介质就能触发恶意程序运行。他强调："使用这类平台的开发和运维团队通常拥有系统、基础设施、知识产权及战略合作伙伴关系的高级访问权限——如此简单的入侵途径实在令人难堪。"

值得注意的是，该漏洞不影响Visual Studio Code。研究人员解释："VS Code默认启用工作区信任功能，在用户明确信任文件夹前会拦截高风险钩子（任务、调试预启动任务及某些扩展激活）。而Cursor默认禁用此保护机制，导致'folderOpen'等自动触发行为无需确认即可执行。"

安全债务：Cursor生态的累积风险

此次披露并非孤立事件。今年早些时候，Cursor已遭受CurXecute和MCPoison等攻击活动影响，针对macOS用户的npm包篡改事件也时有发生。Barr警告称".vscode/tasks.json问题只是整体威胁拼