AI编程工具Cursor近期被曝出严重安全隐患。安全公司LayerX在例行审计中发现这款广受欢迎的代码编辑器存在一个访问控制缺陷CVSS评分高达8.2属于高危级别。问题的棘手之处在于任何已经安装在Cursor里的扩展都能在用户毫无察觉的情况下把开发者的API密钥和会话令牌全部拿走——整个过程不需要弹窗授权也不会留下任何告警日志。明文存在本地谁都能读按照现代软件的安全惯例像API密钥这类敏感凭证理应交给操作系统层面的加密保管设施比如macOS的钥匙串Keychain或者Windows的凭证管理器。这些系统级存储的好处在于即便恶意程序进入了用户电脑也需要突破额外的权限边界才能触碰到核心密钥。但Cursor的做法显然偏离了这条基线。LayerX的研究人员发现Cursor把用户的API密钥、会话令牌等敏感信息直接塞进了一个本地的SQLite数据库文件路径就躺在~/Library/Application Support/Cursor/User/globalStorage/state.vscdb。更关键的是这个文件没有加密。也就是说只要某个程序能访问文件系统打开这个数据库就能直接读到明文内容。按理说扩展和核心编辑器之间应该有一道隔离墙。但Cursor目前并没有在扩展与这个SQLite数据库之间设置任何访问控制边界。结果是每一个已安装的扩展无论是官方推荐的还是用户从第三方市场随手下载的都天然具备读取该数据库的权限。攻击链路四步完成静默窃取这种漏洞的利用门槛远比想象中低。攻击者不需要构造复杂的远程渗透链路甚至不需要诱导用户点击可疑链接。整个攻击流程可以拆解成四步第一步攻击者在Cursor扩展市场发布一个看起来人畜无害的工具可能是配色主题、代码格式化插件或者某个号称能提升效率的小助手。这类工具往往功能单一、界面简洁很容易通过市场审核也极易获得用户信任。第二步开发者像往常一样点击安装。由于Cursor当前的扩展机制并不会在安装环节提示该扩展需要访问您的凭证数据库用户看到的只是一个普通的权限申请列表甚至完全没有权限提示。很多人会在无意识中完成安装。第三步恶意扩展在后台执行一段极其简短的查询脚本直接定位到state.vscdb文件从中提取存储的API密钥和会话令牌。因为这些数据本身就是明文扩展无需破解、无需解密读取即是得手。第四步提取到的凭证通过HTTP请求或者其他隐蔽通道被发送到攻击者控制的远程服务器。整个过程静默完成用户侧看不到网络异常提示Cursor也不会触发任何安全告警。危害不止于密钥本身很多开发者习惯在Cursor里配置多个AI服务的接入密钥涵盖OpenAI、Google Cloud、Anthropic等主流平台。一旦这些密钥被批量窃取连锁反应会迅速蔓延。最直接的风险是账户接管。攻击者拿到会话令牌后相当于直接拥有了开发者在该AI服务上的身份凭证可以查看历史对话、访问已上传的私有代码片段甚至调用高额度计费接口。对于绑定了企业账户或按量付费套餐的用户来说这意味着账单可能在短时间内飙升至惊人数字。更深层的隐患在于数据泄露。Cursor里沉淀的往往是企业最核心的代码资产、架构设计文档以及未公开的算法逻辑。攻击者通过窃取的后台访问权限不仅能读取历史聊天记录还可能顺藤摸瓜摸到关联的代码仓库元数据。对于金融、医疗、基础设施等对合规要求极高的行业来说这种泄露的代价很难用金钱直接衡量。厂商回应与修复僵局LayerX在2026年2月1日就将漏洞细节正式提交给Cursor安全团队。对方在2月5日确认收到了报告但给出的初步回应并不令安全社区满意。Cursor方面的核心论点是扩展和用户进程处于同一本地信任边界内任何具备文件系统访问权限的本地应用理论上都能读取这些数据因此这更像是一个预期内的行为而非严格意义上的漏洞。截至2026年4月28日这个CVSS 8.2的高危问题依然处于未修复状态。Cursor官方的态度倾向于让用户自行承担扩展筛选的责任建议只安装可信来源的插件。但在LayerX和多位独立安全研究者看来这种回应回避了根本问题——既然Cursor选择将高价值凭证集中存储在本地就应该为这份集中化带来的风险提供对等的防护机制而不是把安全责任完全转嫁给终端用户。眼下能做什么在Cursor推出结构性修复之前开发者能采取的防御措施相对有限但也不是完全被动。第一清理现有扩展。打开Cursor的扩展面板逐条审视已安装列表。对于那些长期未更新、作者信息模糊、下载量异常偏低或者功能描述含糊不清的插件建议直接卸载。宁可暂时牺牲一点便利性也不要给潜在的恶意代码留驻留空间。第二隔离高价值密钥。如果工作流允许尽量把核心API密钥从Cursor的全局配置中剥离出来改用环境变量注入或者临时密钥轮换机制。这样即便本地数据库被读取攻击者拿到的是一枚已经失效或权限受限的令牌。第三关注官方更新。这个漏洞的修复并不涉及复杂的密码学重构核心改动只有两个给扩展和数据库之间加一道访问控制边界以及把凭证迁移到系统级加密存储。如果Cursor团队后续调整安全策略优先升级版本。从行业视角看这起事件再次暴露了AI编程工具在快速迭代中的安全债问题。当产品功能以周为单位更新时凭证存储、权限隔离这类底层架构设计往往容易被忽视。对于开发者而言在享受AI辅助编程效率红利的同时保持对本地凭证分布的敏感度或许应该成为新的安全习惯。