Đã bị tấn công cả đêm, ban đầu kỹ thuật này mà chúng tôi @SlowMist_Team chuẩn bị để sử dụng trong mùa đông, nhưng đã bị lạm dụng quá nhiều trong môi trường hoang dã. Những ai chơi Vibe Coding, sử dụng các IDE chính thống này, nhất định phải cẩn thận khi mở bất kỳ dự án nào, chẳng hạn như mở thư mục để mở một dự án nào đó, chỉ cần mở là có thể bị thực thi lệnh hệ thống, Windows/Mac cũng vậy. Đặc biệt chú ý đến con trỏ, mở thư mục dự án được xây dựng độc hại, sẽ bị dính bẫy ngay lập tức, rất mượt mà. Do đang trong môi trường hoang dã, nên tôi phát ra cảnh báo đơn giản trước, đã có vài người chơi AI Coding bị dính bẫy.

Chuẩn bị thông báo cho @cursor_ai sửa chữa lỗ hổng này, ai có cách liên lạc trực tiếp?

Gửi @cursor_ai chi tiết lỗ hổng + PoC + các ảnh chụp liên quan, hy vọng sớm giải quyết vấn đề này.

Đã nhận được phản hồi, vấn đề đã biết, thấy phát ngôn chính thức từ Cursor là: Workspace Trust trong Cursor mặc định là tắt. Bạn có thể vào cài đặt Cursor để đặt 'thành 'true' để bật nó lên. Chúng tôi mặc định tắt nó để tránh sự nhầm lẫn giữa "Chế độ hạn chế" của Workspace Trust và "Chế độ riêng tư" của Cursor, và vì thuộc tính tin cậy của nó khá tinh vi và khó hiểu (ví dụ, ngay cả khi bật Workspace Trust, bạn cũng không được miễn khỏi các tiện ích độc hại, mà chỉ ngăn chặn các thư mục độc hại). Điểm cốt lõi ở đây là "khá tinh vi và khó hiểu", vì vậy chúng tôi quyết định tắt Workspace Trust. Không có gì ngạc nhiên khi việc sử dụng ngày càng nhiều, vì nếu chính thức là như vậy, một trong những nạn nhân @brucexu_eth có thể công khai ngay…🤣