Er is de hele nacht op geklopt, oorspronkelijk was deze techniek bedoeld voor de winter door ons @SlowMist_Team, maar het is nu iets te veel in het wild gebruikt. Voor degenen die Vibe Coding doen en deze populaire IDE's gebruiken, wees voorzichtig met het openen van elk project, zoals het openen van een map om een project te openen; dit kan leiden tot het uitvoeren van systeemcommando's, zowel op Windows als Mac. Let vooral op de Cursor, het openen van een kwaadwillig geconstrueerde projectdirectory kan je direct in de problemen brengen, heel soepel. Omdat het in het wild wordt gebruikt, breng ik dit eerst even als een eenvoudige waarschuwing naar buiten; al verschillende AI Coding spelers zijn al in de problemen gekomen. cc @im23pds @SlowMist_Team

Bereid je voor om @cursor_ai te informeren over het herstel van deze exploit. Wie heeft er een directe communicatiemethode?

Geef @cursor_ai de details van de kwetsbaarheid + PoC + relevante screenshots, in de hoop dat dit probleem snel wordt opgelost.

Ik heb een antwoord gekregen, het bekende probleem, en de officiële verklaring van Cursor is: Workspace Trust is standaard uitgeschakeld in Cursor. Je kunt het inschakelen in de Cursor-instellingen door 'true' in te stellen. We hebben het standaard uitgeschakeld om verwarring tussen de "Restricted Mode" van Workspace Trust en de "Privacy Mode" van Cursor te voorkomen, en omdat de vertrouwensaspecten behoorlijk subtiel en moeilijk te begrijpen zijn (bijvoorbeeld, zelfs als je Workspace Trust inschakelt, ben je niet beschermd tegen kwaadaardige extensies, maar alleen tegen kwaadaardige mappen). De kern ligt in "behoorlijk subtiel en moeilijk te begrijpen", daarom hebben we Workspace Trust gewoon uitgeschakeld. Geen wonder dat het gebruik in het wild toeneemt, aangezien de officiële verklaring zo is, kan een van de slachtoffers @brucexu_eth het gewoon onthullen...🤣