彈了一晚上，本來這個技巧我們 @SlowMist_Team 準備過冬用的，不過在野利用有點多了。 玩 Vibe Coding 的，玩這些主流 IDE 的，一定要謹慎打開任何項目，比如 Open Folder 打開某個項目，打開就可能被系統命令執行，Windows/Mac 等都一樣。尤其注意 Cursor，打開惡意構造的項目目錄，直接中招，非常絲滑。 由於是在野利用，所以先發出來簡單預警下，已經好幾個 AI Coding 玩家中招。 cc @im23pds @SlowMist_Team

準備先給 @cursor_ai 通知修復這個利用，誰有直達溝通的方式？

@cursor_ai 給 @cursor_ai 發漏洞細節 + PoC + 相關截圖，希望儘快解決這個問題。

得到答覆了，已知問題，看到 Cursor 官方說法是： Workspace Trust 在 Cursor 中默認是禁用的。你可以在 Cursor 設置中將 ' 設為 'true' 來啟用它。我們默認禁用它，是為了避免 Workspace Trust 的「Restricted Mode」與 Cursor 的「Privacy Mode」之間產生混淆，並且因為其信任屬性相當微妙且難以理解（例如，即便啟用 Workspace Trust，你也不會因此免受惡意擴展的影響，而只是防範惡意文件夾）。 核心在這“相當微妙且難以理解”，於是乾脆禁用 Workspace Trust。 難怪在野利用越來越多，既然官方是這種說法，受害者之一 @brucexu_eth 可以直接披露了…🤣