Після ночі гри ми @SlowMist_Team цю техніку, щоб підготуватися до зими, але в дикій природі її використовували занадто часто. Якщо ви граєте у Vibe Coding або ці основні IDE, слід бути обережними при відкритті будь-якого проєкту, наприклад Open Folder для відкриття проєкту, і він може виконуватися системними командами при відкритті, наприклад, Windows/Mac. Зверніть особливу увагу на Cursor, відкрийте шкідливий каталог проєктів — і вас одразу обдурять, що дуже «шовковисто». Оскільки він використовується у вільному режимі, кілька гравців із програмуванням ШІ вже були залучені під простим попередженням. CC @im23pds @SlowMist_Team

Готові повідомити @cursor_ai, щоб виправити цю експлуатацію? Хто має прямий спосіб спілкування?

@cursor_ai надіслав @cursor_ai деталі вразливості + PoC + пов'язані скріншоти, сподіваючись якнайшвидше вирішити цю проблему.

Відповіді, відомі проблеми, див. офіційну заяву курсора: Workspace Trust за замовчуванням вимкнено в Cursor. Ви можете увімкнути його, встановивши 'true' у налаштуваннях курсора. Ми вимикаємо його за замовчуванням, щоб уникнути плутанини між «Обмеженим режимом» Workspace Trust і «Режимом конфіденційності» Cursor, а також тому, що властивості довіри досить тонкі та складні для розуміння (наприклад, навіть із увімкненим Workspace Trust ви не захищені від шкідливих розширень, а лише від шкідливих папок). Суть тут «досить тонка і важка для розуміння», тому ми просто вимикаємо Workspace Trust. Не дивно, що опозиція все більше цим користується, і оскільки офіційна заява є такою, одна з жертв, @brucexu_eth, може прямо її розкрити... 🤣