IT之家其他AI

馬斯克旗下 AI 編程工具 Cursor 曝安全漏洞:可執行任意代碼,報告 7 個月未修復

2026年7月15日 15:51

重點摘要

根據 IT 之家報導,安全公司 Mindgard 於昨日(7 月 14 日)發布博文指出,馬斯克旗下的 AI 編程工具 Cursor 存在安全漏洞,可讓攻擊者在用戶系統上執行任意代碼。該漏洞在通報後已長達 7 個月,但官方至今仍未完成修復。 此漏洞的細節在 Mindgard 的報告中有所揭露,攻擊者可藉此繞過安全機制,對受影響的系統構成直接威脅。

站內 AI 整理稿

知名安全研究機構 Mindgard 於 7 月 14 日發布最新報告,揭露由馬斯克旗下團隊主導開發的 AI 編程工具 Cursor 存在一項重大安全漏洞,攻擊者可在未經授權的情況下,遠端在使用者的系統上執行任意程式碼。更令人憂心的是,這項漏洞自被通報至今已長達七個月,Cursor 官方團隊仍未推出有效的修補更新,受影響的使用者長期處於潛在的資安風險之中。 Cursor 是一款整合大型語言模型的 AI 輔助程式開發工具,主要功能包括自動補齊程式碼、根據自然語言指令生成函式、快速重構與除錯,並支援多種主流程式語言。因其能顯著提升開發效率,近年來在全球開發者社群中累積了大量使用者,尤其受到需要頻繁撰寫與修改程式碼的工程師歡迎。然而,正是這樣一款深受信賴的工具,卻被發現存在可被利用於遠端攻擊的嚴重缺陷。 根據 Mindgard 釋出的技術細節,此漏洞與 Cursor 的安全檢查機制有關。攻擊者能夠繞過該工具內建的防護措施,直接在使用者的開發環境中植入或執行任意指令。這意味著,當開發者使用 Cursor 編輯專案時,若不小心開啟或載入遭刻意竄改的程式碼片段,攻擊者便能透過該漏洞在不觸發任何警訊的情況下,取得系統控制權,進而竊取原始碼、資料庫憑證、環境變數等敏感資訊,甚至將受害者的機器納入傀儡網路。 Mindgard 研究人員在報告中強調,這項漏洞的觸發門檻相對較低,不需要複雜的攻擊鏈或高權限存取。只要使用者開啟含有惡意負載的檔案,或連線至被駭的程式碼儲存庫,攻擊就可能發生。由於開發者日常工作中經常從外部來源匯入第三方套件或協作專案,這類攻擊向量尤其危險。研究團隊早在半年前就已將完整漏洞分析與攻擊示範提交給 Cursor 官方,但至今未見官方釋出任何實質性的安全更新。 回顧時間線,Cursor 團隊在接獲通報後並未公開回應此事,也未在後續的版本更新中修補該漏洞。七個月過去,使用者只能繼續使用可能存在風險的版本。安全專家指出,對於一款被廣泛應用於商業與個人開發環境的工具而言,這樣的反應速度令人擔憂。在軟體開發領域,類似漏洞一旦被駭客大規模利用,可能在短時間內造成連鎖性的資料外洩事件,影響範圍將涵蓋所有依賴該工具的企業與獨立開發者。 目前,尚未有任何證據顯示該漏洞已在真實世界中被積極利用,但安全社群普遍認為,隨著漏洞細節半年前已被揭露,惡意行為者很可能早已掌握相關利用方式。長期未修補的情況下,Cursor 使用者等同於暴露在一個已知且可被利用的攻擊面之下。對於存放商業機密或客戶資料的專案,風險尤其不可忽視。 面對此一情況,Mindgard 建議所有 Cursor 使用者在官方釋出修補更新前,應採取額外的防護措施。例如,避免直接開啟來路不明的專案或檔案、在隔離環境(如虛擬機器或容器)中執行可疑程式碼,以及定期審查系統中的異常活動。同時也應關注 Cursor 官方公告,一旦新版本釋出,應立即升級以確保安全。 Cursor 的開發團隊目前尚未就此事發表正式聲明,也無具體時間表說明何時會完成修復。這讓許多長期依賴該工具的開發者感到不安,並在社群平台上表達對於漏洞遲遲未修的不滿。部分使用者開始評估是否有替代工具能夠暫時接手開發流程,例如微軟的 GitHub Copilot、Amazon CodeWhisperer 等同樣具備 AI 輔助能力的程式碼產生器。 這起事件也再次凸顯 AI 編程工具的安全治理問題。隨著生成式 AI 迅速滲入軟體開發流程,開發工具本身的安全性逐漸成為重要的資安環節。若工具供應商未能建立即時回應漏洞的機制,使用者將被迫承擔超出預期的風險。業界呼籲,相關監管機構與標準制定組織應考慮將 AI 開發工具納入安全性稽核範圍,以保護廣大開發者及最終用戶的資料安全。 總結而言,Cursor 漏洞至今未修復的消息,為迅速成長的 AI 程式設計工具市場敲響警鐘。開發效率與資訊安全之間的平衡,需要工具開發者與使用者共同維護。Cursor 團隊能否在短期內提出有效的修補方案,挽救使用者信心,將是市場觀察的重點。而在此之前,所有開發者都應提高警覺,將安全列為優先考量,避免成為已知漏洞的下一個受害者。

Related

相關文章

鈦媒體其他AI

風中有朵Token做的雲

鈦媒體報導聚焦代幣與雲端運算結合的趨勢,站方已移除混入的模型思考文字。報導主題可能探討代幣經濟如何在雲端服務中落地,或數位資產與雲端基礎設施之間的交互關係。具體細節尚未完整揭露,但這類話題在科技與區塊鏈圈持續升溫。

22 分鐘前
AIBase其他AI

​OpenAI反擊馬斯克竊密訴訟:要求xAI承擔百萬美元法律費,稱其"先起訴後找證據"

AI資訊AI新閒資訊正文​OpenAI反擊馬斯克竊密訴訟:要求xAI承擔百萬美元法律費,稱其"先起訴後找證據"發布於AI新閒資訊時間 :Jul 14, 2026閱讀 :1分鐘據彭博社報道,OpenAI正式要求法官裁定xAI對其提起的商業機密竊取訴訟"本就不該立案",並尋求讓馬斯克的公司承擔超過 100 萬美元的法律費用。

1 天前7000
何夕2077其他AI

OpenAI簡化提示方法

OpenAI簡化提示方法。 新指南面向普通日常用戶。用戶可讀提示方法完整報道頁面瞭解框架。指南強調🎯先描述結果。四塊內容包括目標和約束。Chat與Codex首次統一講解。

1 天前
何夕2077其他AI

世界人工智能大會聚焦治理

世界人工智能大會聚焦治理。 習近平將出席開幕式並演講。大會安排見人工智能大會權威發佈。議程聚焦���️全球治理合作。安全倫理和前沿應用均受關注。會議或推動國際產業協作。

1 天前
何夕2077其他AI

airi本地智能伴侶升溫

airi本地智能伴侶升溫。 項目解決雲端伴侶隱私痛點。開源本地智能伴侶項目倉庫已獲**41.9k**。用戶可🎙️實時語音聊天互動。它還能遊玩方塊世界等遊戲。網頁端與桌面端現均已支持。

1 天前