Cursor молча раздаёт уязвимость 7 миллионам разработчиков

Компания Mindgard опубликовала полное раскрытие (full disclosure) критической уязвимости в популярном AI-редакторе кода Cursor. Суть проста: если в корне открытого репозитория на Windows лежит файл git.exe, Cursor выполнит его автоматически — без предупреждений, диалогов и каких-либо действий со стороны пользователя. Уязвимость была обнаружена 15 декабря 2025 года и до сих пор не исправлена.

⚠ Статус уязвимости
Уязвимость подтверждена в Cursor версии 3.2.16 (последняя проверка — 30 апреля 2026 года). Патча нет. Cursor выпустил более 197 новых версий, не устранив проблему.

Как работает уязвимость

При открытии проекта Cursor пытается найти системный инструмент Git в нескольких локациях — в том числе в самой папке рабочего пространства (workspace). Если злоумышленник заранее поместил в корень репозитория вредоносный файл с именем git.exe, IDE запустит его как часть своей стандартной логики поиска Git-бинарников.

Для демонстрации исследователи Mindgard взяли безобидное приложение — «Калькулятор» Windows, переименовали его в git.exe и положили в корень тестового репозитория. После открытия проекта Cursor начал запускать этот файл снова и снова — без каких-либо действий исследователя. На экране появлялось всё больше окон калькулятора.

«Если взять троян удалённого доступа, программу-вымогатель или любой другой исполняемый файл и просто назвать его git.exe — он запустится без ограничений на машине разработчика сразу после открытия репозитория» — Aaron Portnoy, CPO Mindgard

В реальной атаке calc.exe заменяется любым вредоносным кодом. Результат — arbitrary code execution (выполнение произвольного кода) с правами текущего пользователя.

4:25:12 PM  Cursor.exe  Process Create
  c:\...\git_exec0001\git.exe  SUCCESS
  Command line: git rev-parse --show-toplevel

Фрагмент лога Sysinternals Process Monitor: Cursor.exe сам запускает git.exe из папки репозитория


graph TD
    A[Разработчик клонирует репозиторий] --> B[В корне лежит вредоносный git.exe]
    B --> C[Cursor открывает проект]
    C --> D[IDE ищет Git-бинарник в workspace]
    D --> E[Cursor запускает git.exe без предупреждения]
    E --> F[Произвольный код выполнен под правами пользователя]
    F --> G[Повторный запуск по таймеру — снова и снова]

7 месяцев молчания

История взаимодействия Mindgard с Cursor — отдельный повод для беспокойства.

ДатаСобытие
15 дек. 2025Mindgard обнаружила уязвимость и немедленно сообщила Cursor
Янв–Май 2026Многократные повторные уведомления — через email, LinkedIn, HackerOne
Весна 2026CISO Cursor подтвердил: внутренний сбой автоматизации помешал обработке отчёта
Весна 2026Отчёт первоначально закрыт как «информационный» и вне скоупа
Май 2026HackerOne воспроизвёл уязвимость и подтвердил её Cursor
Июнь 2026Все запросы о статусе остались без ответа
14 июля 2026Mindgard публикует полное раскрытие — патча по-прежнему нет

За это время Cursor выпустил более 70 новых версий с новыми функциями — и ни одного исправления этой проблемы.

ℹ Масштаб потенциального ущерба
Cursor используют более 7 миллионов активных пользователей, из них свыше 1 миллиона — ежедневно. Более 50 000 компаний применяют редактор в работе. Рыночная оценка компании — около $60 млрд.

Что делать прямо сейчас

⚠ Корпоративные Windows-системы
Администраторы могут использовать AppLocker или Windows App Control для запрета выполнения подозрительных .exe-файлов из директорий рабочих пространств разработчиков. Рекомендуется использовать правила на основе пути (path-based rules), а не хеша файла — атакующий может легко заменить бинарник с другим хешем. Пример маски пути: %USERPROFILE%\source\repos\*\filename.exe.
💡 Личные устройства
До выхода патча открывайте недоверенные репозитории только в изолированной среде: виртуальная машина, Windows Sandbox или аналогичный одноразовый контейнер. Не полагайтесь на блок-листы по хешу файлов.

Почему это важнее, чем кажется

Исследователь Aaron Portnoy, спроектировавший первые шесть соревнований Pwn2Own, отметил, что уязвимость исключительно легко эксплуатировать — и её несложно было бы исправить. По его оценке, изменение кода заняло бы около пяти минут.

Cursor — не единственный AI-редактор с проблемами безопасности. Ранее в 2026 году были раскрыты CVE-2026-26268 (уязвимость через Git-хуки, исправлена в Cursor 2.5) и пара критических багов DuneSlide (CVE-2026-50548 и CVE-2026-50549, CVSS 9.8, исправлены в Cursor 3.0). Однако в отличие от тех случаев, текущая уязвимость от Mindgard так и не получила CVE и официального исправления.

Главный вопрос, который задаёт Mindgard: если вендор месяцами не реагирует на простой, высокоимпактный баг — продолжая при этом распространять уязвимое ПО среди миллионов пользователей — зачем вообще нужен процесс security disclosure?

Пользователи заслуживают базовой защиты от базовых угроз.

Полное раскрытие стало единственным способом дать организациям возможность принять осознанное решение о рисках.