威脅狩獵公司 Novee 的研究人員在一款名為 Cursor 的流行人工智慧整合開發環境 (IDE) 中發現了一個安全漏洞。這個高危險任意程式碼執行漏洞，編號為CVE-2026-26268 (CVSS 8.1)，允許駭客透過讓程式設計師複製專案倉庫（從GitHub等網站下載專案文件及其完整歷史記錄的副本到自己的電腦上）來控製程式設計師的電腦。

攻擊原理

需要注意的是，這個問題並非由 Cursor 程式碼（核心產品邏輯）本身的 bug 引起，而是由 AI 工具與 Git（一款流行且廣泛使用的程式碼變更追蹤軟體）的交互方式導致的。通常，Git 使用 Git 鉤子，這些鉤子是一些在特定任務期間自動執行的小腳本。研究人員指出，駭客可以將惡意 pre-commit 鉤子隱藏在嵌套的裸倉庫中。裸倉庫是一個特殊的資料夾，用於存放版本控制數據，但不向使用者顯示任何實際文件。

當 Cursor AI 代理程式嘗試執行諸如 Git 程式碼檢出之類的常規任務時，它會意外觸發隱藏陷阱，導致任意程式碼執行，這意味著駭客的程式碼會在沒有任何警告或彈出視窗請求權限的情況下運行。這一切發生得如此隱蔽，主要歸功於 Cursor Rules 文件，該文件指示 AI 應該如何操作。

為什麼人工智慧代理會成為攻擊目標

人工智慧代理人正在改變詐騙分子的作案方式。過去，客戶端攻擊通常需要用戶至少點擊一次可疑連結。由於Cursor 中的人工智慧代理可以自主選擇並運行系統級命令，因此它可能在誤以為自己只是在幫助用戶的情況下運行惡意軟體，研究人員指出，這正是「該漏洞可被大規模利用的原因」。

他們進一步解釋說，攻擊面正在擴大，因為人工智慧工具現在可以自主地處理來自網路的不受信任的程式碼。因此，當開發者從公共網站克隆一個專案時，人工智慧就會開始運作並立即啟動漏洞利用程式。

由於這次攻擊不涉及社會工程或用戶交互，而只是克隆公共儲存庫（這是人工智慧代理現在可以自動執行的常規任務），隨著這些工具獲得更大的自主性，底層環境就變成了一個嚴重的安全風險。

攻擊方法詳解（資料來源：Novee）

解決問題

遵循負責任的資訊揭露原則，Novee 的研究人員與 Cursor 的開發人員進行了溝通和協作，共同修復了這個問題。官方修復程序於 2026 年 2 月完成，漏洞詳情於 4 月 28 日在一篇部落格文章中揭露，並與 Hackread.com 分享。

這項發現意義重大，因為開發人員的電腦通常儲存著敏感的私人數據，例如存取權杖、密碼和公司機密代碼。因此，Novee 的專家建議，安全團隊現在必須對 AI 編碼助理進行審計，而不能再想當然地認為它們是安全的。

研究人員總結道：“人們通常假設開發者用來構建軟體的工具本身是安全的。但這種假設值得重新審視，尤其當這些工具是人工智能驅動的代理，它們在開發者的本地環境中自主運行，處理來自互聯網上任何來源的代碼時。”。

資料來源：https://hackread.com/cursor-ai-ide-vulnerability-code-execution-git-hooks/