漏洞  ·  2026-07-15

Cursor IDE 从中毒存储库自动执行恶意 git.exe(未修补的 0-day)

漏洞High 影响Global
安全公司 Mindgard 披露了 Cursor AI 代码编辑 IDE 中存在的 Windows 任意代码执行漏洞,该漏洞于 2025 年 12 月首次报告给 Cursor,在 Cursor 未能通过电子邮件、LinkedIn 或 HackerOne 在大约七个月内解决后,于 2026 年 7 月 14 日公开披露。Mindgard 通过将 Windows 计算器重命名为 git.exe 并将其放置在存储库根目录来演示了该漏洞;只需在 Cursor 中打开中毒存储库就会触发自动执行。
这是 AI 代码助手特有的新型代理执行/信任边界攻击类别:IDE 的自动化工具(而非传统应用漏洞)无声地执行来自不受信任存储库的攻击者控制的代码,能够在开发者机器上实现 RAT、勒索软件、凭据盗取或源代码泄露——目前没有可用补丁。
攻击者在 Git 存储库的根目录中发布/植入名为 git.exe 的恶意二进制文件。Cursor 的 Git 路径解析逻辑在工作区本身中搜索 Git 二进制文件,然后回退到系统 PATH;当开发者在 Cursor 中打开中毒存储库时,恶意 git.exe 会自动以开发者权限执行——不显示点击、提示或警告,执行可能在正常使用期间重复发生。
Cursor IDE (Windows),已确认存在于版本 3.2.16 及发布前测试的最新版本(2026 年 7 月);披露时未修补
披露时无供应商补丁可用;Cursor 告诉 Dark Reading 正在解决该问题。临时缓解措施:仅在隔离环境(VM/Windows Sandbox)中打开不受信任的存储库;企业应部署 AppLocker 或 Windows App Control 策略以阻止从开发者工作区目录执行 git.exe。
Dark ReadingMallory (Cursor IDE Executes Malicious git.exe From Poisoned Repositories)
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →