Po jedné noci hraní jsme tuto techniku @SlowMist_Team na zimu, ale v přírodě se používala až moc. Pokud hrajete Vibe Coding nebo tyto běžné IDE, musíte být opatrní při otevírání jakéhokoli projektu, například Open Folder, abyste projekt otevřeli, a může být při otevření spuštěn systémovými příkazy, například ve Windows/Mac. Věnujte zvláštní pozornost Kurzoru, otevřete škodlivě vytvořený adresář projektů a budete přímo oklamáni, což je velmi neuhlazné. Protože se používá ve volném prostředí, několik hráčů kódujících AI už bylo naverbováno pod jednoduchým varováním. cc @im23pds @SlowMist_Team

Připraveni @cursor_ai informovat, aby opravili toto zneužití, kdo má přímý způsob, jak komunikovat?

@cursor_ai poslal @cursor_ai detaily zranitelnosti + PoC + související screenshoty, s nadějí, že problém co nejdříve vyřeší.

Zodpovězené, známé problémy, viz oficiální prohlášení Cursor: Důvěra v pracovní prostor je ve Kurzoru ve výchozím nastavení vypnutá. Můžete ho povolit nastavením 'true' v nastavení kurzoru. Ve výchozím nastavení ho deaktivujeme, abychom předešli záměně mezi "Omezeným režimem" Workspace Trust a "Režimem soukromí" v Kurzoru, a protože jeho vlastnosti důvěry jsou poměrně jemné a obtížně pochopitelné (například i při zapnutém Workspace Trust nejste chráněni před škodlivými rozšířeními, ale pouze před škodlivými složkami). Jádro je zde "poměrně jemné a obtížně pochopitelné", takže jednoduše vypneme Workspace Trust. Není divu, že opozice toho stále více využívá, a protože oficiální prohlášení je tímto prohlášením, jedna z obětí, @brucexu_eth, to může přímo zveřejnit... 🤣