Ha rimbalzato tutta la notte, inizialmente questa tecnica era destinata a essere utilizzata dal nostro @SlowMist_Team per l'inverno, ma è stata sfruttata un po' troppo in modo improprio. Chi gioca a Vibe Coding e utilizza questi IDE principali deve prestare attenzione ad aprire qualsiasi progetto, ad esempio aprendo una cartella per accedere a un progetto, si potrebbe attivare l'esecuzione di comandi di sistema, sia su Windows che su Mac. Prestare particolare attenzione al cursore, aprendo directory di progetto costruite in modo malevolo, si rischia di essere colpiti, molto fluido. Poiché si tratta di un utilizzo improprio, lo pubblico per dare un semplice avviso, già diversi giocatori di AI Coding sono stati colpiti. cc @im23pds @SlowMist_Team

Preparati a informare @cursor_ai di riparare questa vulnerabilità, chi ha un modo diretto per comunicare?

Invia i dettagli della vulnerabilità + PoC + screenshot correlati a @cursor_ai, sperando di risolvere questo problema il prima possibile.

Ho ricevuto una risposta, il problema è noto, e ho visto che la dichiarazione ufficiale di Cursor è: Workspace Trust è disabilitato per impostazione predefinita in Cursor. Puoi abilitarlo nelle impostazioni di Cursor impostando 'true'. Lo disabilitiamo per evitare confusione tra la "Modalità Ristretta" di Workspace Trust e la "Modalità Privacy" di Cursor, e perché la sua natura di fiducia è piuttosto sottile e difficile da comprendere (ad esempio, anche se abiliti Workspace Trust, non sarai protetto da estensioni dannose, ma solo da cartelle dannose). Il punto centrale è che è "piuttosto sottile e difficile da comprendere", quindi abbiamo semplicemente disabilitato Workspace Trust. Non c'è da meravigliarsi che l'uso di exploit stia aumentando, dato che l'ufficiale ha questa posizione, una delle vittime @brucexu_eth può rivelarlo direttamente...🤣