Grałem całą noc, pierwotnie ta technika miała być używana przez @SlowMist_Team na zimę, ale w terenie wykorzystanie stało się zbyt duże. Osoby bawiące się Vibe Coding i używające tych głównych IDE powinny ostrożnie otwierać jakiekolwiek projekty, na przykład otwierając folder z danym projektem, można zostać narażonym na wykonanie poleceń systemowych, zarówno w Windows, jak i Mac. Szczególnie zwróć uwagę na kursor, otwierając złośliwie skonstruowany katalog projektu, można łatwo paść ofiarą, bardzo gładko. Ponieważ to jest wykorzystanie w terenie, więc najpierw wysyłam prostą ostrzeżenie, już kilku graczy AI Coding padło ofiarą. cc @im23pds @SlowMist_Team

Przygotujcie powiadomienie dla @cursor_ai o naprawie tego wykorzystania, kto ma bezpośredni sposób komunikacji?

@cursor_ai Proszę wysłać szczegóły dotyczące luki + PoC + odpowiednie zrzuty ekranu do @cursor_ai, mam nadzieję, że problem zostanie szybko rozwiązany.

Otrzymałem odpowiedź, znany problem, widziałem oficjalne stanowisko Cursor: Workspace Trust w Cursor jest domyślnie wyłączony. Możesz w ustawieniach Cursor ustawić 'true', aby go włączyć. Domyślnie go wyłączamy, aby uniknąć zamieszania między „Trybem Ograniczonym” Workspace Trust a „Trybem Prywatności” Cursor, a także dlatego, że jego właściwości zaufania są dość subtelne i trudne do zrozumienia (na przykład, nawet jeśli włączysz Workspace Trust, nie uchroni cię to przed złośliwymi rozszerzeniami, a jedynie przed złośliwymi folderami). Sedno sprawy tkwi w tym, że „jest to dość subtelne i trudne do zrozumienia”, więc po prostu wyłączamy Workspace Trust. Nie dziwi mnie, że wykorzystanie w terenie rośnie, skoro oficjalne stanowisko jest takie, jeden z ofiar @brucexu_eth może to po prostu ujawnić…🤣