时间:2026年7月14日
地点:全球
事件详情:
AI编程工具Cursor IDE被曝出严重0day安全漏洞。安全研究人员披露,攻击者只需创建一个包含恶意代码的仓库,当用户使用Cursor打开该仓库时,无需额外操作即可自动执行任意代码。该漏洞利用Cursor对项目文件的自动索引和分析机制,可在用户毫不知情的情况下完成恶意代码注入与执行。
背景:
Cursor是近年来增长最快的AI编程IDE之一,基于VS Code构建,集成了多款大模型辅助编程。随着AI编程工具渗透率快速提升,安全问题日益凸显。此次漏洞披露方式也引发关注:研究者选择直接公开细节而非走传统漏洞披露流程,认为这是当前唯一能推动厂商快速修复的保护方式。
影响:
- 全球使用Cursor的开发者面临潜在代码执行风险
- AI IDE的安全性成为开发者工具选型的新考量因素
- 0day漏洞的公开披露引发行业对负责任披露标准的讨论
- 企业级AI编程部署前需额外评估安全风险
- 推动IDE厂商加强项目打开时的权限隔离与沙箱机制
参考来源:
https://mindgard.ai/blog/cursor-0day-when-full-disclosure-becomes-the-only-protection-left
https://www.timesofai.com/
https://news.ai7788.cn/









