Технический контекст
Я редко вижу настолько приземленную и при этом неприятную дыру: Cursor на Windows может сам запустить вредоносный git.exe, если он лежит в корне открытого репозитория. Без кликов, без prompt injection, без красивых AI-атак. Просто открыли папку, и поехали.
Я как раз на таких историях обычно и проверяю зрелость AI implementation в компании. Если инструмент для разработки ломается на поиске бинарника в workspace, проблема уже не в модели и не в агенте, а в базовой гигиене продукта.
По данным Mindgard, корень бага в логике поиска Git: Cursor рассматривает несколько путей и захватывает исполняемый файл прямо из директории проекта. Дальше происходит обычный arbitrary code execution с правами текущего пользователя. Демка была почти издевательски простой: калькулятор переименовали в git.exe, Cursor его молча запустил.
Меня здесь зацепило не только само исполнение кода, а тишина вокруг него. Нет предупреждения, нет подтверждения, нет даже намека, что IDE сейчас трогает бинарник из недоверенного репозитория.
История еще хуже из-за тайминга. Mindgard сообщает, что отправила репорт 15 декабря 2025 года, потом пинговала повторно, включая HackerOne, а уязвимость оставалась воспроизводимой как минимум в версии 3.2.16, проверенной 30 апреля 2026 года. Если цифры верны, это больше шести месяцев и 197+ релизов без фикса.
На момент сейчас, 15 июля 2026, новость уже не свежая в формате «только что нашли», а скорее показательный разбор того, как full disclosure становится последней защитой, когда вендор тянет. Cursor говорил Dark Reading, что проблему "addressing", но сам факт публичного раскрытия уже многое говорит о процессе реакции.
Что это меняет для бизнеса и автоматизации
Проигрывают команды, которые открывают внешние репозитории на боевых Windows-машинах разработчиков без изоляции. Выигрывают те, кто давно разделил доверенные и недоверенные окружения, а запуск AI automation и dev-инструментов держит внутри policy-контуров.
Практический вывод у меня простой: любые AI IDE и агенты надо включать в ту же модель угроз, что и браузер, почту и RDP-клиент. Если разработчик тянет код изнаружи, ему нужен sandbox, а на Windows хотя бы AppLocker или Windows App Control.
И да, это бьет не только по security, но и по архитектуре процессов. Я бы пересматривал, где именно у вас живет AI integration для разработки, кто имеет право открывать внешние проекты локально и какие бинарники вообще могут стартовать из workspace.
Если у вас команда уже завязана на Cursor, Copilot, агентах и внутренних тулзах, я бы не ждал следующей такой истории. В Nahornyi AI Lab мы как раз помогаем выстроить AI automation и защитные ограничения так, чтобы разработчики не теряли скорость, а бизнес не платил за одну неудачно открытую папку. Если хотите, разберем ваш контур вместе и соберем нормальную схему без лишней магии.