一晩遊んだ後、冬に備えてこの技術を@SlowMist_Teamしましたが、野生では少し使いすぎてしまいました。 Vibe Coding をプレイしたり、これらの主流の IDE をプレイしているなら、Open Folder のようなプロジェクトを開く際には注意が必要です。WindowsやMacのように、開いたときにシステムコマンドで実行されることがあります。 特にカーソルに注意を払い、悪意のあるプロジェクトディレクトリを開くと、直接騙されてしまい、とても巧妙です。 実際に使われているため、単純な警告のもとで複数のAIコーディングプレイヤーがリクルートされています。 CC@im23pds @SlowMist_Team

この悪用を修正するために@cursor_aiに通知する準備はできていますか?直接的な連絡手段を持っている人は誰ですか?

@cursor_ai@cursor_ai脆弱性の詳細+PoC+関連スクリーンショットを送信し、できるだけ早くこの問題を解決したいと願っています。

既知の問題点に答えました。Cursor公式声明をご覧ください: CursorではWorkspace Trustはデフォルトで無効になっています。 カーソル設定で「true」に設定することで有効にできます。 Workspace Trustの「制限モード」とカーソルの「プライバシーモード」の混同を避けるため、デフォルトで無効にしています。また、信頼の特性が非常に微妙で理解しにくいためです(例:Workspace Trustを有効にしても悪意ある拡張機能からは保護されず、悪意のあるフォルダのみから保護されます)。 ここでの核心は「かなり微妙で理解しにくい」ため、Workspace Trustを単純に無効にします。 だからこそ野党がますます利用しているのも無理はない。そしてこの声明が公式な立場であるため、被害者の一人である@brucexu_ethが直接それを明かすことができる... 🤣