IT之家 7 月 15 日消息,Mindgard 昨日(7 月 14 日)發(fā)布博文,報道稱馬斯克旗下 Cursor 編程工具存在安全漏洞,可執(zhí)行任意代碼,在通報 7 個月后官方尚未修復(fù)。
Cursor 是一款帶有 AI 編程輔助功能的代碼編輯器,可用于打開、瀏覽和編輯軟件項目代碼,于今年 6 月被馬斯克旗下 SpaceX 收購,交易估值達到 600 億美元(IT之家注:現(xiàn)匯率約合 4069.22 億元人民幣)。
Mindgard 報道稱整個漏洞觸發(fā)過程無需按鈕點擊,無需向 AI 下達指令,也不會彈出警告或確認界面,攻擊者在倉庫頂層放置惡意 git.exe,Cursor 會優(yōu)先或直接執(zhí)行該文件。
在概念驗證中,Mindgard 將 Windows 計算器重命名為 git.exe 后放入倉庫。使用 Cursor 打開該倉庫后,計算器即被啟動;若倉庫持續(xù)保持打開狀態(tài),計算器還會反復(fù)運行,形成多個窗口。
![]()
這是一個無害的概念驗證,使用重命名為 git.exe 的 Windows 計算器。項目打開后,光標(biāo)會反復(fù)從倉庫根目錄執(zhí)行該安裝文件。
Mindgard 于 2025 年 12 月 15 日向 Cursor 安全聯(lián)系人提交報告,不過截至 2026 年 4 月 30 日,該問題仍可在 Windows 版 Cursor 3.2.16 上確認復(fù)現(xiàn)。
Mindgard 稱,2026 年 2 月至 4 月間多次問詢未獲回應(yīng);即使其在 2026 年 6 月 1 日表達公開披露意向,修復(fù)狀態(tài)仍不明確。Mindgard 因此于 2026 年 7 月 14 日公布漏洞細節(jié)。
![]()
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.