合规与监控
用 Audit Logs、Hooks、SIEM、Trust Center 和 AI code tracking 建立 Cursor Enterprise 合规监控闭环。
合规与监控要回答的不是“Cursor 有没有审计日志”,而是组织能不能在事后说明:谁改了什么设置、谁获得了访问、哪些自动化在运行、哪些 AI 活动需要额外记录。
核验日期:2026-05-09。Audit Logs(审计日志)、事件类型、streaming 方式、Trust Center 文件和 Enterprise 开关可能变化;审计前必须按官方文档和当前后台复核。
1. 一句话判断
Cursor Enterprise Audit Logs 记录安全事件和管理动作,但不记录 Agent responses 或 generated code content。需要开发活动合规日志时,要用 Hooks 补足。
所以合规方案要分两层:后台审计看管理行为,Hooks 看开发活动元数据。
2. Audit Logs 覆盖哪些事件
官方说明 Enterprise Audit Logs 会记录这些类型:
- Authentication events:登录、登出。
- User management:通过 SSO、邀请、注册、team 创建、auto-enrollment 增加用户;移除用户;角色变化;个人 spend limit。
- API key management:team 和 user API key 创建、撤销。
- Team settings:团队级和用户级 spend limit、admin settings、team name、Slack integration settings、repository mappings。
- Repository management:repository 创建、删除、settings 更新。
- Directory groups:目录组创建、更新、删除、成员变化、权限修改。
- Privacy settings:用户或团队级 Privacy Mode 变化。
- Team rules:Team rules 和 Bugbot rules 的创建、更新、删除。
- Team commands:自定义 team command 创建、更新、删除。
这些日志适合回答“谁改了治理设置”。它不适合直接回答“Agent 生成了哪段代码”。
3. Audit Logs 不记录什么
官方明确说明:Audit Logs 不记录 agent responses 或 generated code content。
这是一条很重要的边界。安全团队如果要求记录 prompt、文件、生成代码或 Agent 具体操作,要单独设计 Hooks 或代码仓库审计方案。
建议优先记录 metadata,而不是完整内容:
- user / service account。
- timestamp。
- repository。
- file path。
- command category。
- hook decision。
- policy violation type。
不要默认把完整 prompt 或代码发送到合规系统,因为里面可能包含密钥、客户数据或 proprietary code。
4. 访问、搜索与导出
Audit Logs 可在 Team Dashboard 的 audit log 页面查看,需要 Enterprise plan 和 admin access。
后台支持按这些维度过滤:
- date range。
- event type。
- actor。
过滤结果可以导出 CSV,用于审计报告、月度复盘或事件调查。
5. Streaming 到安全系统
企业合规更适合把 Audit Logs 流式接入已有系统:
- SIEM(Security Information and Event Management,安全信息和事件管理平台),例如 Splunk、Sumo Logic、Datadog。
- Webhook endpoint。
- S3 bucket。
- Elasticsearch、CloudWatch 等日志聚合系统。
官方文档说明如果需要 streaming audit logs,需要联系 Cursor。
落地时建议先定义三类告警:
- 身份异常:异常登录、离职后访问、角色突然升级。
- 策略异常:Privacy Mode、spend limit、model access、repository mapping 被修改。
- 自动化异常:service account、API key、Slack integration、team command 频繁变化。
6. Hooks 补开发活动日志
Audit Logs 负责管理动作,Hooks 负责开发活动中的策略点。
适合用 Hooks 记录:
- prompt submitted 的 metadata。
- code generated 的 file path 和 policy result。
- terminal command 的命令类型和审批结果。
- file read / file write 的路径和阻断原因。
- DLP、secret scan、license scan 的通过或拒绝状态。
一个合规 hook 不应默认上传完整代码。更稳的做法是只记录 metadata:
e="generation"
f="$CURSOR_FILE"
t="$(date -u +%FT%TZ)"
curl -d "$e $f $t" "$LOG_URL"实际实现时再按公司 DLP 与日志规范补用户、仓库、策略结果和 request id。
7. Trust Center 与合规材料
Cursor 官方说明可通过 Trust Center 获取合规材料,包括:
- SOC 2 reports。
- Penetration test summaries。
- Security architecture documentation。
- Data flow diagrams。
这些文件有版本和有效期。安全审查、续约、年度审计不要复用旧下载件。
8. Responsible disclosure
发现 Cursor 安全漏洞时,官方要求通过 responsible disclosure 流程上报,并提供漏洞描述、复现步骤、截图或 proof of concept。当前官方邮箱是 [email protected]。
9. 商业级验收
- Enterprise Audit Logs 已启用并能由管理员访问。
- 管理事件覆盖身份、成员、API key、team settings、repository、directory group、Privacy Mode、team rules、team commands。
- 关键事件流式接入 SIEM、S3、Webhook 或日志系统。
- Audit Logs 不记录 Agent responses / generated code 的边界已写入合规说明。
- Hooks 负责记录 prompt、文件、命令、生成代码等开发活动 metadata。
- 不把完整代码、prompt、密钥和客户数据默认打到日志系统。
- Trust Center、DPA、Privacy Overview 和 Data Flow 材料已按审计日期留档。
- Responsible disclosure 联系方式写进内部安全流程。
10. 常见失败点
- 以为 Audit Logs 会记录 Agent 生成的代码内容。
- 只在 Dashboard 手工看日志,没有接 SIEM 或长期存储。
- 记录完整 prompt 和代码,反而把敏感信息复制到日志系统。
- 没监控 Privacy Mode、API key、Service Account、Slack integration 的变化。
- 合规材料用旧版本截图,审计时无法证明当前有效。
官方来源
- https://cursor.com/docs/enterprise/compliance-and-monitoring.md
- https://cursor.com/docs/hooks.md
- https://trust.cursor.com/
- https://cursor.com/docs/enterprise/privacy-and-data-governance.md