模型与集成管理
管理 Cursor Enterprise 的模型访问、BYOK、MCP allowlist、仓库 blocklist,以及 Slack、GitHub、GitLab、Linear 集成权限。
模型和集成管理决定 Cursor 能调用哪些 AI 模型、能连接哪些外部系统、能让哪些 MCP 工具代表用户执行操作。它是 Enterprise 里最容易被低估的权限面。
核验日期:2026-05-06。模型列表、BYOK、MCP marketplace、集成权限和 Enterprise 开关变化很快;上线前按官方文档和当前 Team Dashboard 复核。
1. 一句话判断
Enterprise 团队应该默认收紧模型、BYOK、MCP、仓库和集成权限,再按团队需要逐步放开。否则 Cursor 会从编辑器变成多个外部系统的隐性操作入口。
2. 模型访问控制
Enterprise 可以控制团队成员能使用哪些模型。官方说明入口在 Team Dashboard 的 Settings 里,Model Access Control 属于 Enterprise 能力,需联系销售开通。
模型控制解决三件事:
- 成本:限制高价模型或把高价模型只给需要的团队。
- 风险:避免未经审查的新模型进入生产代码工作流。
- 一致性:让团队使用可审计、可支持、可解释的模型组合。
官方还说明,新模型不会立刻对所有 Enterprise 团队自动启用,而是由 Enterprise 团队选择是否 opt in。
3. BYOK:个人 API Key 要明确禁用或管控
Enterprise 可以阻止成员在 Cursor 里使用自己的 OpenAI、Anthropic、Azure、AWS Bedrock 等第三方 API keys。禁用后,团队使用 Cursor included models 和组织 usage pool。
默认建议禁用个人 BYOK,原因很直接:
- 成本不会绕过企业账单。
- Privacy Mode 和 ZDR 判断不会被个人供应商策略打乱。
- 模型审查、日志、支持和限额更容易统一。
如果必须允许 BYOK,要写清楚哪些团队、哪些 provider、哪些数据类别可以使用,并让安全团队按 provider policy 单独审查。
4. MCP server trust management
MCP 可以让 Cursor 连接外部工具和数据源。官方提醒:MCP servers 由外部 vendor 设计和实现,不是 Cursor 自己实现。即使有 vetted marketplace,也应该逐个审查能力和权限。
MCP server 可能具备这些能力:
- 读取外部系统文件或数据。
- 代表用户执行操作。
- 访问数据库和 API。
- 连接第三方服务。
所以 MCP 不是“插件”,而是权限委托。
MCP Allowlist
Enterprise 可以在 Team Dashboard 的 MCP Configuration 中控制成员允许使用哪些 MCP servers。
也可以通过 MDM 分发 ~/.cursor/permissions.json,设置 per-user MCP auto-run allowlist。官方要求 mcpAllowlist 是字符串数组,使用 server:tool 语法:
{
"mcpAllowlist": [
"github:create_pull_request",
"docs:*",
"*:search"
]
}语义:
server:tool:允许某个 server 的某个 tool。server:*:允许某个 server 的所有 tools。*:tool:允许任意 server 上同名 tool。*:*:允许所有 MCP tools。
不要在生产环境使用 *:*。这相当于放弃 MCP 权限边界。
Allowlist 优先级
Cursor 按这个顺序解析 MCP allowlist:
- Team Dashboard 或其他 admin-controlled settings。
~/.cursor/permissions.json。- editor settings 和 inline Add to allowlist。
高优先级会替换低优先级,不会合并。上线时要避免 Dashboard 和 MDM 分发互相覆盖导致排障困难。
stdio 与 URL server 匹配
本地 stdio MCP 通过完整 command string 匹配。因为 npx、python 等命令可能解析成不同绝对路径,官方建议必要时使用前缀通配。
*npx -y @acme/mcp-tool@latest
*python */scripts/mcp-server.py*远程 HTTP/SSE MCP 通过 URL 匹配:
https://mcp.acme.com/sse
https://*.acme.com/*MCP allowlist 只是允许运行,不会自动把 server 推送到用户机器。用户仍需在 Cursor settings 里配置对应 server。
5. Git repository blocklist
Enterprise 可以在 Team Dashboard 设置 Repository Blocklist,阻止 Cursor index 或处理特定仓库。
建议 blocklist 这几类仓库:
- 法务或许可限制明确禁止 AI 处理的仓库。
- 客户专属、高保密、涉密或强合规仓库。
- 含生产密钥、数据 dump、日志样本的仓库。
- 还没完成安全评审的历史 monorepo。
仓库 blocklist 要和 GitHub/GitLab 权限一起看。不要让 Cursor 侧 blocklist 成为唯一防线。
6. 集成权限
Slack
Slack 集成允许在 Slack 中触发 Cloud Agents。Cursor 需要读取消息、发布响应和访问 channel metadata。上线时应限制可安装 workspace、可使用 channel、触发者范围和审计方式。
GitHub、GHES(GitHub Enterprise Server,私有部署版 GitHub)和 GitLab
版本控制集成让 Cloud Agents 能读取仓库并创建 PR。它需要 repository read access,以及创建 PR 的 write access。应按最小权限只授权必要仓库。
Linear
Linear 集成允许从 issue 启动 Cloud Agents。Cursor 需要读取 issue 并更新状态。上线时要确认哪些项目可触发 Agent、生成 PR 是否必须经过人工 review。
7. 商业级验收
- 模型访问控制已按团队、项目或风险等级配置。
- 新模型 opt in 由平台 owner 审批,不默认全员开放。
- BYOK 已禁用,或有清晰的供应商、数据和团队边界。
- MCP allowlist 由 Team Dashboard 或 MDM 统一管理。
- 没有生产环境
*:*MCP allowlist。 - stdio MCP server 固定版本,不使用不受控 latest。
- Repository Blocklist 覆盖禁用仓库和高风险仓库。
- Slack、GitHub、GitLab、Linear 集成都按最小权限授权。
- 集成触发的 Cloud Agents 必须产出 PR、日志或可审计工件。
8. 常见失败点
- 只限制模型价格,不限制模型风险和新模型 rollout。
- 允许个人 BYOK 后,还按 Cursor included model 的隐私承诺答复审计。
- 把 MCP 当普通插件,没有审查外部 server 的读写权限。
- 使用
*:*allowlist,导致任何 MCP tool 都能运行。 - stdio MCP 使用
latest,每次安装的实际代码不可复现。 - GitHub app 授权整个组织,而不是最小仓库集合。
- Slack 任意频道都能触发 Cloud Agents,缺少 owner 和审批。
官方来源
- https://cursor.com/docs/enterprise/model-and-integration-management.md
- https://cursor.com/docs/models-and-pricing.md
- https://cursor.com/docs/mcp.md
- https://cursor.com/docs/integrations/slack.md
- https://cursor.com/docs/integrations/github.md
- https://cursor.com/docs/integrations/linear.md
- https://cursor.com/docs/account/teams/dashboard.md