Efter att ha spelat en kväll @SlowMist_Team vi denna teknik för att förbereda oss inför vintern, men den användes lite för mycket i det vilda. Om du spelar Vibe Coding eller dessa vanliga IDE:er måste du vara försiktig med att öppna något projekt, som Open Folder, för att öppna ett projekt, och det kan köras med systemkommandon när det öppnas, som Windows/Mac. Var extra uppmärksam på Cursor, öppna den illvilliga projektkatalogen, och du blir direkt lurad, vilket är väldigt smidigt. Eftersom det används i det vilda har flera AI-kodande spelare redan rekryterats under en enkel varning. CC @im23pds @SlowMist_Team

Redo att meddela @cursor_ai för att åtgärda denna exploatering, vem har ett direkt sätt att kommunicera?

@cursor_ai skickade @cursor_ai sårbarhetsdetaljer + PoC + relaterade skärmdumpar, i hopp om att lösa problemet så snart som möjligt.

Besvarade, kända problem, se Cursors officiella uttalande: Workspace Trust är inaktiverat som standard i Cursor. Du kan aktivera det genom att sätta 'true' i markörinställningarna. Vi inaktiverar det som standard för att undvika förväxling mellan Workspace Trusts "Restricted Mode" och Cursors "Privacy Mode", och eftersom dess förtroendeegenskaper är ganska subtila och svåra att förstå (t.ex. även med Workspace Trust aktiverat är du inte skyddad mot skadliga tillägg, utan endast från skadliga mappar). Kärnan är "ganska subtil och svår att förstå" här, så vi stänger helt enkelt av Workspace Trust. Inte konstigt att oppositionen utnyttjar det mer och mer, och eftersom tjänstemannen är detta uttalande kan en av offren, @brucexu_eth, direkt avslöja det... 🤣