Etter å ha spilt en kveld @SlowMist_Team vi denne teknikken for å forberede oss til vinteren, men den ble brukt litt for mye i naturen. Hvis du spiller Vibe Coding eller disse vanlige IDE-ene, må du være forsiktig med å åpne et prosjekt, som Open Folder, for å åpne et prosjekt, og det kan bli utført med systemkommandoer når det åpnes, som Windows/Mac. Følg spesielt med på Cursor, åpne den ondsinnede prosjektkatalogen, og du blir direkte lurt, noe som er veldig silkemykt. Siden det brukes i naturen, har flere AI-kodende spillere allerede blitt rekruttert under en enkel advarsel. CC @im23pds @SlowMist_Team

Klar til å varsle @cursor_ai for å fikse denne utnyttelsen, hvem har en direkte måte å kommunisere på?

@cursor_ai sendte @cursor_ai sårbarhetsdetaljer + PoC + relaterte skjermbilder, i håp om å løse dette problemet så raskt som mulig.

Besvarte, kjente problemer, se Cursors offisielle uttalelse: Workspace Trust er deaktivert som standard i Cursor. Du kan aktivere det ved å sette 'true' i markørinnstillingene. Vi deaktiverer det som standard for å unngå forveksling mellom Workspace Trusts "Restricted Mode" og Cursors "Privacy Mode", og fordi tillitsegenskapene er ganske subtile og vanskelige å forstå (f.eks. selv med Workspace Trust aktivert, er du ikke beskyttet mot ondsinnede utvidelser, men kun mot ondsinnede mapper). Kjernen er «ganske subtil og vanskelig å forstå» her, så vi deaktiverer rett og slett Workspace Trust. Ikke rart opposisjonen utnytter det mer og mer, og siden tjenestemannen er denne uttalelsen, kan en av ofrene, @brucexu_eth, direkte avsløre den... 🤣