Cursor 零日漏洞:全披露成最后防线
Cursor 0day: When Full Disclosure Becomes the Only Protection Left

Mindgard 发现了一个极其简单的 Cursor 零日漏洞:在 Windows 环境下,只要项目根目录存在恶意的 git.exe,Cursor 就会在无任何提示的情况下自动执行,导致任意代码执行。尽管 Mindgard 早在 2025 年 12 月就通过官方渠道上报,但七个月过去了,Cursor 在发布了 197 个新版本后仍未修复,且对安全团队的多次跟进置若罔闻。面对这家估值高达 600 亿美元、拥有 700 万活跃用户的 AI 开发巨头,当常规的安全披露流程彻底失效,研究人员被迫选择公开披露,将用户从虚假的安全感中唤醒。
"当供应商停止沟通时,用户不应被蒙在鼓里,全披露是漏洞披露的核选项,专为所有其他路径都失败的情况而保留。"