Se ha explotado durante toda la noche, originalmente esta técnica la teníamos preparada para el invierno en @SlowMist_Team, pero se ha utilizado demasiado en el entorno salvaje. Los que juegan a Vibe Coding y utilizan estos IDE principales, deben tener cuidado al abrir cualquier proyecto, por ejemplo, al abrir una carpeta de un proyecto, al abrirla se puede ejecutar un comando del sistema, tanto en Windows como en Mac. Presten especial atención al Cursor, abrir un directorio de proyecto malicioso puede resultar en una infección directa, muy suave. Dado que se trata de una explotación en el entorno salvaje, lo comparto como una simple advertencia, ya hay varios jugadores de AI Coding que han caído en la trampa. cc @im23pds @SlowMist_Team

¿Alguien tiene una forma directa de comunicarse para notificar a @cursor_ai sobre la reparación de esta explotación?

@cursor_ai Enviar detalles de la vulnerabilidad a @cursor_ai + PoC + capturas de pantalla relacionadas, espero que se resuelva este problema lo antes posible.

He recibido una respuesta, el problema conocido, he visto que la declaración oficial de Cursor es: Workspace Trust está desactivado por defecto en Cursor. Puedes habilitarlo en la configuración de Cursor estableciendo 'true'. Lo desactivamos por defecto para evitar confusiones entre el "Modo Restringido" de Workspace Trust y el "Modo Privacidad" de Cursor, y porque su propiedad de confianza es bastante sutil y difícil de entender (por ejemplo, incluso si habilitas Workspace Trust, no estarás a salvo de extensiones maliciosas, solo te protege de carpetas maliciosas). La clave está en esto: "bastante sutil y difícil de entender", por lo que simplemente desactivamos Workspace Trust. No es de extrañar que el uso de herramientas no oficiales esté en aumento, dado que la oficial es esta, una de las víctimas @brucexu_eth puede revelarlo directamente...🤣