Agent 安全邊界
基於 Cursor 官方 Agent Security 和 Privacy 文件解釋審批、.cursorignore、allowlist、MCP、網路、workspace trust 和 Privacy Mode。
Cursor Agent 能讀檔案、改檔案、跑命令、連工具,也會面對 prompt injection、hallucinations 和其它不確定行為。官方 Agent Security 文件的核心結論是:預設敏感動作需要人工批准,這些 guardrails 建議保持開啟。
閱讀目標:讀完本章,你應該能說清哪些 Agent 動作預設要審批,.cursorignore 和 allowlist 的邊界是什麼,以及 Privacy Mode 覆蓋和不覆蓋什麼。
1. 預設 guardrails
官方文件說明:這些控制和行為是預設值,並建議保持開啟。
| 動作 | 預設行為 | 你要做什麼 |
|---|---|---|
| Read files / search code | 不需要審批 | 用 .cursorignore 阻止 Agent 訪問特定檔案 |
| Edit workspace files | 可直接儲存到磁碟 | 必須用 Git,隨時可 revert |
| Edit configuration files | 需要審批 | 看清影響範圍再批准 |
| Run terminal commands | 預設需要審批 | 每條命令都要審查 |
| Sensitive data exposure | 需要明確批准 | 不讓 Agent 觸碰金鑰、客戶資料、生產憑據 |
| MCP tool calls | 連線和每次呼叫都需要審批 | 只批准必要工具 |
官方特別提醒:如果專案啟用了 auto-reload,Agent 儲存的改動可能在你 review 前就被執行。前端 dev server、watch scripts、熱更新後臺都屬於這類風險面。
2. 檔案和配置
Agent 可以不經審批修改 workspace files,但 configuration files 需要你先批准。官方給出的工程建議是:始終使用 version control,這樣 Agent 走錯時可以回退。
flowchart TD
Agent["Cursor Agent"] --> Read["Read / search files"]
Agent --> Edit["Edit workspace files"]
Agent --> Config["Edit configuration files"]
Agent --> Terminal["Run terminal commands"]
Read --> Ignore["Use .cursorignore for blocked files"]
Edit --> Git["Use Git for revert path"]
Config --> Approval["Manual approval"]
Terminal --> Review["Review every command"].cursorignore 是檔案可見性的邊界工具。它適合遮蔽 secrets、private notes、customer exports、large generated files 等不應進入 Agent context 的內容。
3. Terminal、allowlist 和 Run Everything
官方文件說明:terminal commands 預設需要審批。你可以啟用 auto-approval,但這是接受風險後的選擇。
關鍵邊界:
- Allowlist 是 best-effort,不是安全保證。
- Bypass 是可能的。
- 不要使用
Run Everythingmode,因為它會跳過所有 safety checks。 - Terminal commands 和 MCP tools 的 allowlists 可以透過 settings UI 或
~/.cursor/permissions.json管理。
深讀:allowlist 為什麼不是安全邊界
Allowlist 的目標是減少重複審批,不是證明命令安全。命令可能透過 shell expansion、指令碼間接呼叫、引數拼接或外部工具行為繞過你的直覺。
所以 allowlist 只適合低風險、可預測、冪等的命令。涉及刪除、網路上傳、許可權修改、生產資料、金鑰讀取的動作,不應該靠 allowlist 放行。
4. MCP 和網路請求
官方文件說明:第三方工具透過 MCP 接入。所有 MCP connections 都需要審批;連線批准後,每次 tool call 仍然需要單獨審批。你可以為特定 tools 預批准 MCP allowlist。
網路請求方面,官方說明預設工具只會向這些方向發起網路請求:
- GitHub。
- Direct link retrieval。
- Web search providers。
預設設定下,Agents 不能發起 arbitrary network requests。團隊裡一旦接入 MCP 或命令列工具,就要重新評估網路出口。
5. Workspace Trust
Cursor 支援 VS Code 的 workspace trust,但官方說明它預設關閉。啟用後,新 workspace 會提示你選擇 normal 或 restricted mode;restricted mode 會破壞 AI features。對 untrusted repos,官方建議用基礎文本編輯器。
啟用方式是在 user settings.json 中加入:
"security.workspace.trust.enabled": true組織可以透過 MDM(Mobile Device Management,移動裝置管理,企業用來統一推下發裝置策略的系統)enforce 這個設定。
6. Privacy Mode
官方 Privacy 文件說明:Privacy Mode 會確保你的程式碼不會被 AI model providers 儲存或用於訓練。開啟後,Cursor 會對 OpenAI、Anthropic、Google、xAI 等 model providers 執行 zero data retention agreements(ZDR,零資料保留協議——供應商承諾請求處理完成後立即刪除資料)。
開啟入口:
| 系統 | 開啟 Cursor Settings |
|---|---|
| Mac | Cmd + Shift + J |
| Windows / Linux | Ctrl + Shift + J |
進入 General 後開啟 Privacy Mode。Teams 預設開啟 Privacy Mode;Admins 可以在 dashboard 裡 organization-wide enforce,防止成員關閉。
Privacy Mode 仍有邊界:
- 使用 AI features 時,prompts 和 code context 仍會傳送給 model providers。
- Privacy Mode 開啟後,providers 不能儲存或訓練這些資料。
- 資料 at rest 和 in transit 都加密。
- 使用自己的 API keys 時,ZDR 不適用,資料處理遵循你所用 provider 的 privacy policy。
7. 團隊安全清單
落地 Cursor Agent 前,至少定這些規則:
- 哪些檔案進入
.cursorignore。 - 哪些 terminal commands 可以審批,哪些必須禁止。
- 是否允許 auto-approval。
- 禁止
Run Everything。 - 哪些 MCP servers 可以連線。
- MCP tools 是否允許 allowlist。
- Privacy Mode 是否強制開啟。
- 自帶 API keys 時由誰負責 provider privacy policy。
- Agent 造成改動後,必須用 Git diff、測試和 review 驗收。
本章自檢
完成本章後,用這 3 個問題檢查自己是否真正理解:
- Cursor Agent 對檔案讀取、檔案編輯、配置編輯、終端命令的預設審批邊界分別是什麼?
- 為什麼 allowlist 不是安全保證?
- Privacy Mode 開啟後,什麼資料仍會傳送給 model providers,什麼不會被他們儲存或訓練?
透過標準:你能為一個團隊 Cursor 專案寫出最小安全策略,覆蓋檔案、命令、MCP、網路、Privacy Mode 和回退。
官方來源
- Cursor Agent Security —— 官方說明 first-party tools、terminal approval、allowlist、MCP、network requests、workspace trust 和 disclosure。
- Cursor Privacy and Data —— 官方說明 Privacy Mode、ZDR、AI providers、team enforcement、API key exception 和 enterprise controls。
- Cursor Permissions Reference —— 官方說明 terminal 和 MCP allowlist 配置。