Después de jugar una noche, @SlowMist_Team esta técnica para prepararnos para el invierno, pero se usó un poco demasiado en la naturaleza. Si juegas a Vibe Coding o a estos IDEs convencionales, debes tener cuidado al abrir cualquier proyecto, como Abrir Carpeta para abrir un proyecto, y puede ejecutarse mediante comandos del sistema al abrirse, como Windows/Mac. Presta especial atención a Cursor, abre el directorio malicioso del proyecto construido y serás engañado directamente, lo cual es muy fluido. Como se está usando en la naturaleza, varios jugadores de programación IA ya han sido reclutados bajo una simple advertencia. CC @im23pds @SlowMist_Team

¿Listo para notificar a @cursor_ai que arregle esta explotación, quién tiene una forma directa de comunicarse?

@cursor_ai enviado @cursor_ai detalles de vulnerabilidades + PoC + capturas de pantalla relacionadas, con la esperanza de solucionar este problema lo antes posible.

Problemas conocidos y respondidos, véase declaración oficial de Cursor: La confianza del espacio de trabajo está deshabilitada por defecto en Cursor. Puedes activarlo poniendo 'verdadero' en la configuración del cursor. Lo desactivamos por defecto para evitar confusiones entre el "Modo Restringido" de Workspace Trust y el "Modo Privacidad" de Cursor, y porque sus propiedades de confianza son bastante sutiles y difíciles de entender (por ejemplo, incluso con Workspace Trust activado, no estás protegido contra extensiones maliciosas, sino solo contra carpetas maliciosas). El núcleo es "bastante sutil y difícil de entender" aquí, así que simplemente desactivamos la Confianza en el Espacio de Trabajo. No es de extrañar que la oposición se aproveche cada vez más de ello, y dado que el responsable es esta declaración, una de las víctimas, @brucexu_eth, puede revelarla directamente... 🤣