J'ai passé la nuit à jouer, à l'origine cette technique était destinée à être utilisée par @SlowMist_Team pour l'hiver, mais elle a été trop exploitée en dehors des sentiers battus. Pour ceux qui jouent à Vibe Coding et utilisent ces IDE populaires, il faut être très prudent en ouvrant n'importe quel projet, par exemple en utilisant Open Folder pour ouvrir un projet, car cela peut entraîner l'exécution de commandes système, que ce soit sur Windows ou Mac. Faites particulièrement attention au Curseur, ouvrir un répertoire de projet malveillant peut vous piéger directement, c'est très fluide. Étant donné qu'il s'agit d'une exploitation en dehors des sentiers battus, je publie d'abord un simple avertissement, plusieurs joueurs d'AI Coding ont déjà été touchés. cc @im23pds @SlowMist_Team

Je prépare à informer @cursor_ai de la nécessité de corriger cette exploitation, qui a un moyen de communication direct ?

@cursor_ai Envoyez à @cursor_ai les détails de la vulnérabilité + PoC + captures d'écran pertinentes, en espérant résoudre ce problème rapidement.

J'ai reçu une réponse, le problème est connu, et selon la déclaration officielle de Cursor : Workspace Trust est désactivé par défaut dans Cursor. Vous pouvez l'activer dans les paramètres de Cursor en le définissant sur 'true'. Nous l'avons désactivé par défaut pour éviter toute confusion entre le « Restricted Mode » de Workspace Trust et le « Privacy Mode » de Cursor, et parce que sa nature de confiance est assez subtile et difficile à comprendre (par exemple, même si vous activez Workspace Trust, cela ne vous protège pas des extensions malveillantes, mais seulement des dossiers malveillants). Le cœur du problème est que c'est « assez subtil et difficile à comprendre », donc nous avons simplement désactivé Workspace Trust. Pas étonnant que l'utilisation sauvage augmente, puisque c'est ce que dit l'officiel, l'une des victimes @brucexu_eth peut le révéler directement…🤣