Depois de jogar por uma noite, @SlowMist_Team essa técnica para nos prepararmos para o inverno, mas foi usada um pouco demais na natureza. Se você joga Vibe Coding ou esses IDEs comuns, deve ter cuidado ao abrir qualquer projeto, como Abrir Pasta, para abrir um projeto, e ele pode ser executado por comandos do sistema ao ser aberto, como Windows/Mac. Preste atenção especial ao Cursor, abra o diretório malicioso construído do projeto, e você será enganado diretamente, o que é muito fácil. Como está sendo usado no mercado natural, vários jogadores de programação por IA já foram recrutados sob um simples aviso. CC @im23pds @SlowMist_Team

Pronto para notificar @cursor_ai para corrigir essa exploração, quem tem uma forma direta de se comunicar?

@cursor_ai enviei @cursor_ai detalhes da vulnerabilidade + pontos de impressão + capturas de tela relacionadas, esperando resolver esse problema o quanto antes.

Questões respondidas e conhecidas, veja declaração oficial da Cursor: O Workspace Trust está desativado por padrão no Cursor. Você pode ativar isso definindo 'verdadeiro' nas configurações do cursor. Desativamos por padrão para evitar confusão entre o "Modo Restrito" do Workspace Trust e o "Modo Privacidade" do Cursor, e porque suas propriedades de trust são bastante sutis e difíceis de entender (por exemplo, mesmo com o Workspace Trust ativado, você não está protegido contra extensões maliciosas, apenas contra pastas maliciosas). O núcleo é "bastante sutil e difícil de entender" aqui, então simplesmente desativamos o Workspace Trust. Não é à toa que a oposição está se aproveitando cada vez mais disso, e como o oficial é essa declaração, uma das vítimas, @brucexu_eth, pode divulgá-la diretamente... 🤣