Appearance
Cursor Agent 内置多层安全机制防范提示词注入和意外操作:读文件不需要审批,终端命令和敏感数据操作默认要求手动批准;MCP 工具逐条审批;网络请求仅允许访问 GitHub、直链和搜索引擎,不允许任意出站请求。本文是官方安全文档的中文改写,介绍各类操作的默认权限、allowlist 配置(~/.cursor/permissions.json)和企业 Workspace Trust 设置。
Cursor Agent 安全机制
AI 有时会因为提示词注入、幻觉等原因产生意外行为。Cursor 内置了多层安全机制,默认情况下敏感操作都需要你手动批准。本文说明各项限制的默认行为和配置方式。
原则:这些默认配置是 Cursor 推荐的安全基线,建议保持开启。
第一方工具的权限规则
文件读取和搜索
不需要批准,可以直接执行。
如果你不想让 Agent 访问某些文件(比如含密钥的 .env),在项目根目录创建 .cursorignore,语法和 .gitignore 相同:
# .cursorignore
.env
.env.*
secrets/
*.pem文件修改
Agent 可以在不需要批准的情况下修改工作区文件,改动立刻写入磁盘。
例外:配置文件(如 workspace settings)需要批准。
建议:始终用 Git 管理代码,这样 Agent 改出问题可以随时 git revert 或用 Checkpoints 回滚。
注意:如果你开了文件自动重载(auto-reload),Agent 的修改可能在你审查前就已经生效(比如自动运行的 watch 进程)。
终端命令
默认每次都需要手动批准。每次 Agent 要执行命令,都会弹出确认框显示具体命令内容,你审查后才运行。
allowlist(预批准)配置:
如果某些命令(比如 npm test)你信任它总是安全的,可以加入 allowlist:
- 在 Cursor Settings 的权限界面配置
- 或直接编辑
~/.cursor/permissions.json
allowlist 是尽力而为,不是安全保证——存在绕过的可能。永远不要开启"全部自动执行"(Run Everything)模式,它会跳过所有安全检查。
第三方工具(MCP)的权限规则
通过 MCP 连接的外部工具遵循以下规则:
- 首次连接需要批准:新增 MCP 连接时会提示你确认
- 每次工具调用需要批准:即使连接已批准,每次具体的工具调用仍然逐条需要确认
- MCP allowlist:可以在
~/.cursor/permissions.json里预批准特定工具,跳过逐条确认
网络请求限制
Agent 不能发起任意网络请求。在默认配置下,工具只能访问:
- GitHub
- 直链检索(直接 URL 获取)
- Web 搜索引擎
防止攻击者通过提示词注入,让 Agent 把你的代码或数据发送到外部服务器。
Workspace Trust(企业配置)
Cursor 支持 VS Code 的 Workspace Trust 功能,但默认关闭。
开启后,打开新工作区时会提示选择"正常模式"或"受限模式"。注意:受限模式会禁用 AI 功能,不适合日常开发使用。
如何开启 Workspace Trust:
json
// 在用户 settings.json 中添加
"security.workspace.trust.enabled": true企业可以通过 MDM 统一强制这个设置。
漏洞上报
发现安全问题,发邮件到 security-reports@cursor.com,附上复现步骤。5 个工作日内确认,严重漏洞会通过邮件通知所有用户。
常见问题
Q: 每次终端命令都要批准,能不能批量预批准常用命令?
可以。在 Cursor Settings 的权限界面或 ~/.cursor/permissions.json 里加 allowlist。但要清楚 allowlist 不是真正的安全边界,只是便利性设置。
Q: .cursorignore 和 .gitignore 有什么区别?
.gitignore 是 Git 的忽略规则,.cursorignore 是 Cursor AI 工具的访问限制。两者语法相同但作用不同——被 .cursorignore 屏蔽的文件,Agent 的读取工具无法访问,但 Bash 命令仍然可以(比如 cat .env),完整隔离需要 OS 级别的权限控制。
Q: MCP 工具安全吗?
MCP 工具是第三方提供的,安全性取决于工具的实现。Cursor 通过逐条审批机制限制 MCP 工具的操作范围,但你仍然需要确保使用的 MCP 工具来自可信来源。