Appearance
Cursor 默认不把你的代码用于 AI 模型训练。Privacy Mode 开启后,Cursor 与底层模型提供商(Fireworks、Baseten 等)签订零数据留存协议,请求结束后数据立即清除。同时持有 SOC 2 Type II 认证,每年做第三方渗透测试。本文介绍 Cursor 的数据处理政策、Privacy Mode 配置方式,以及企业级安全合规要求。
Cursor 隐私与安全:你的代码怎么被处理
用 AI 工具最常见的顾虑:我的代码会不会被拿去训练模型?会不会泄露?Cursor 给出了明确的答案。
核心承诺
Cursor 不使用你的代码或输出来训练 AI 模型,也不允许第三方这样做。
例外情况:
- 你明确选择了允许数据用于训练
- 数据被标记为安全问题需要审查
- 你主动通过反馈功能报告了某段内容
什么数据会被收集
| 类型 | 说明 |
|---|---|
| 账户信息 | 邮箱、姓名等注册信息 |
| 使用数据 | 功能使用频率、错误日志 |
| 代码上下文 | 仅在请求期间传输给模型,默认不持久化 |
Cursor 不收集:敏感/特殊类别个人信息、18 岁以下用户的数据。
Privacy Mode(隐私模式)
开启 Privacy Mode 后:
- Cursor 与底层模型推理提供商签订零数据留存协议(zero data retention)
- 你的代码数据在请求响应后立即删除,不被存储
- 请求不会被用于任何目的
如何开启:
- 个人:Cursor Settings > Privacy > 开启 Privacy Mode
- 团队管理员:可以强制团队所有成员开启,无法单独关闭
代码嵌入与索引数据
代码库索引(用于语义搜索)会生成向量嵌入(embedding),存储方式:
- 混淆处理后的代码数据和嵌入存储在 Turbopuffer(Google Cloud US)
- 与原始代码分开存储,不可直接还原
开启 Privacy Mode 或关闭代码库索引可以阻止这部分数据的生成。
SOC 2 Type II 认证
Cursor 持有 SOC 2 Type II 认证(安全、可用性、处理完整性等控制项)。
需要完整报告(用于企业合规审查):访问 trust.cursor.com
企业安全措施
| 措施 | 详情 |
|---|---|
| 渗透测试 | 每年至少一次第三方专业渗透测试 |
| 基础设施访问控制 | 最小权限原则 + AWS MFA 强制 |
| VS Code 安全补丁 | 每两个 VS Code 版本合并一次上游代码库,快速获得安全修复 |
| SSO 支持 | 团队版支持 SAML/OIDC |
数据存储位置
| 数据类型 | 存储位置 |
|---|---|
| 主要基础设施 | AWS(美国) |
| 延迟敏感服务 | 欧洲、新加坡部分节点 |
| 模型推理(Fireworks 等) | 美国、加拿大、亚洲、欧洲 |
| 代码嵌入(Turbopuffer) | 美国 Google Cloud |
注意:Cursor 基础设施不在中国境内。如果你的数据合规要求数据必须留在特定地区,需要向 Cursor 企业支持确认。
删除账户和数据
删除 Cursor 账户后,所有关联数据会在 30 天内从系统中删除。
常见问题
Q: 在公司用 Cursor,代码会不会被 Anthropic/OpenAI 用来训练?
默认不会。Cursor 的服务协议约定代码不用于训练。开启 Privacy Mode 后还会有零数据留存协议,提供额外保证。不过具体合规要求建议咨询法务,并参考 Cursor 的 DPA(数据处理协议)。
Q: 国内用 Cursor,数据传输到境外合规吗?
Cursor 基础设施在美国,使用 Cursor 意味着代码会经过跨境传输。对于有数据本地化要求的企业(金融、政府等),需要仔细评估合规性,或使用支持私有部署的方案。
Q: 如何证明 Cursor 不用我的代码训练?
Cursor 的隐私政策有书面承诺,SOC 2 审计也涵盖了数据处理控制项。企业可以通过 trust.cursor.com 申请 SOC 2 报告,并签订 DPA 作为法律约束。