【AI安全威胁】AI编码助手成“后门”?Cursor IDE高危漏洞曝光,Git操作可遭恶意仓库“自主攻击”

2026年4月28日，AI渗透测试平台Novee Security披露了一个影响热门AI编程工具Cursor IDE的高危漏洞（CVE-2026-26268）。该漏洞的核心在于，Cursor的AI代理在“自主决策”执行Git操作时，可能被恶意构造的代码仓库所利用，从而在开发者电脑上执行任意代码（RCE）。这标志着针对AI辅助开发工具的新型供应链攻击威胁已浮出水面。

漏洞机理：当AI代理“自作主张”

与通常的内存破坏漏洞不同，此漏洞的独特之处在于其利用链条与AI代理的自主性紧密耦合。

• 攻击入口：攻击者并非直接入侵IDE，而是准备一个嵌入了“裸仓库”（bare repository，不含工作目录的纯管理仓库）的恶意Git仓库，并在该裸仓库中设置了恶意Git钩子（hooks）。

• 触发机制：当开发者（或其AI助手）克隆该恶意仓库后，Cursor的AI代理在响应用户某些自然语言提示时，可能会“自行决定”运行git checkout等命令。此时，恶意裸仓库中的钩子便被触发。

• 绕过防护：由于受影响版本（2.5之前）的Cursor对.git目录配置的保护不足，攻击代码得以跳出沙箱限制，在主机上执行。

风险本质：颠覆传统安全前提

Novee指出，此漏洞的最大警示在于，它动摇了“只要用户不被欺骗，系统就安全”的传统假设。AI代理的自主行为连接了原本隔离的信任域——开发者可能只是克隆或打开了一个仓库，而AI的自动化操作则在用户无感的情况下触发了攻击。这使得攻击面从“用户行为”扩展到了“AI代理的行为边界”。

争议焦点：CVSS评分之争凸显评估标准滞后

该漏洞的严重性评分引发了一场有趣的争论。美国国家漏洞数据库（NVD）给出了9.9分（临界）的高分，而Cursor方面则反驳，认为攻击需要多个前提条件（如克隆恶意仓库），将CVSS评分定为8.1分（高危）。

这场争议本身具有象征意义：Novee认为，在AI代理时代，“克隆一个仓库”本身已是一种高频、易被自动化触发的行为，不应再被视为高门槛的交互。这反映出，现有安全风险评估框架在评估“AI自主性引入的风险”时，可能已经滞后于现实。

影响深远：开发机器已成高危目标

此事件再次凸显了开发人员工作站作为攻击目标的极端价值。这些机器通常存有API密钥、源代码、内部凭证等高敏感资产。一旦被攻破，极易成为后续供应链攻击的跳板。

积极应对与行业警示

值得肯定的是，Novee遵循了负责任的漏洞披露流程，而Cursor也在2.5版本中迅速修复了此漏洞，且目前未有现实攻击案例报告。更进一步的，Cursor已开始为其团队版和企业版测试“Cursor安全审查”功能，旨在构建一道检测AI自动提示注入等风险的“元防御”层。

长远启示：AI安全监管的新方向

从更广的视角看，此案例为AI监管提供了新思路。当前的法规（如欧盟《人工智能法案》）多聚焦于“AI生成什么内容”。未来，监管的焦点可能需要转向“AI能做什么”——即界定AI代理自主行为的边界、强化其沙箱环境、并强制要求对外部输入进行可信验证。这起漏洞事件，或许正是AI从“智能助手”迈向“自主执行体”过程中，安全阵痛的开端。用户与行业都需要在享受效率飞跃的同时，冷静审视随之而来的新型风险。

安情视界——洞见未来，智掌先机，持续追踪全球安全动态，精准解读政策与事件，深度预测研判趋势，护航企业全球化征程。