模型與整合管理
管理 Cursor Enterprise 的模型訪問、BYOK、MCP allowlist、儲存庫 blocklist,以及 Slack、GitHub、GitLab、Linear 整合許可權。
模型和整合管理決定 Cursor 能呼叫哪些 AI 模型、能連線哪些外部系統、能讓哪些 MCP 工具代表使用者執行操作。它是 Enterprise 裡最容易被低估的許可權面。
核驗日期:2026-05-06。模型列表、BYOK、MCP marketplace、整合許可權和 Enterprise 開關變化很快;上線前按官方文件和當前 Team Dashboard 複核。
1. 一句話判斷
Enterprise 團隊應該預設收緊模型、BYOK、MCP、儲存庫和整合許可權,再按團隊需要逐步放開。否則 Cursor 會從編輯器變成多個外部系統的隱性操作入口。
2. 模型訪問控制
Enterprise 可以控制團隊成員能使用哪些模型。官方說明入口在 Team Dashboard 的 Settings 裡,Model Access Control 屬於 Enterprise 能力,需聯絡銷售開通。
模型控制解決三件事:
- 成本:限制高價模型或把高價模型只給需要的團隊。
- 風險:避免未經審查的新模型進入生產程式碼工作流。
- 一致性:讓團隊使用可審計、可支援、可解釋的模型組合。
官方還說明,新模型不會立刻對所有 Enterprise 團隊自動啟用,而是由 Enterprise 團隊選擇是否 opt in。
3. BYOK:個人 API Key 要明確停用或管控
Enterprise 可以阻止成員在 Cursor 裡使用自己的 OpenAI、Anthropic、Azure、AWS Bedrock 等第三方 API keys。停用後,團隊使用 Cursor included models 和組織 usage pool。
預設建議停用個人 BYOK,原因很直接:
- 成本不會繞過企業賬單。
- Privacy Mode 和 ZDR 判斷不會被個人供應商策略打亂。
- 模型審查、日誌、支援和限額更容易統一。
如果必須允許 BYOK,要寫清楚哪些團隊、哪些 provider、哪些資料類別可以使用,並讓安全團隊按 provider policy 單獨審查。
4. MCP server trust management
MCP 可以讓 Cursor 連線外部工具和資料來源。官方提醒:MCP servers 由外部 vendor 設計和實現,不是 Cursor 自己實現。即使有 vetted marketplace,也應該逐個審查能力和許可權。
MCP server 可能具備這些能力:
- 讀取外部系統檔案或資料。
- 代表使用者執行操作。
- 訪問資料庫和 API。
- 連線第三方服務。
所以 MCP 不是“外掛”,而是許可權委託。
MCP Allowlist
Enterprise 可以在 Team Dashboard 的 MCP Configuration 中控制成員允許使用哪些 MCP servers。
也可以透過 MDM 分發 ~/.cursor/permissions.json,設定 per-user MCP auto-run allowlist。官方要求 mcpAllowlist 是字串陣列,使用 server:tool 語法:
{
"mcpAllowlist": [
"github:create_pull_request",
"docs:*",
"*:search"
]
}語義:
server:tool:允許某個 server 的某個 tool。server:*:允許某個 server 的所有 tools。*:tool:允許任意 server 上同名 tool。*:*:允許所有 MCP tools。
不要在生產環境使用 *:*。這相當於放棄 MCP 許可權邊界。
Allowlist 優先順序
Cursor 按這個順序解析 MCP allowlist:
- Team Dashboard 或其他 admin-controlled settings。
~/.cursor/permissions.json。- editor settings 和 inline Add to allowlist。
高優先順序會替換低優先順序,不會合並。上線時要避免 Dashboard 和 MDM 分發互相覆蓋導致排障困難。
stdio 與 URL server 匹配
本地 stdio MCP 透過完整 command string 匹配。因為 npx、python 等命令可能解析成不同絕對路徑,官方建議必要時使用字首通配。
*npx -y @acme/mcp-tool@latest
*python */scripts/mcp-server.py*遠端 HTTP/SSE MCP 透過 URL 匹配:
https://mcp.acme.com/sse
https://*.acme.com/*MCP allowlist 只是允許執行,不會自動把 server 推送到使用者機器。使用者仍需在 Cursor settings 裡配置對應 server。
5. Git repository blocklist
Enterprise 可以在 Team Dashboard 設定 Repository Blocklist,阻止 Cursor index 或處理特定儲存庫。
建議 blocklist 這幾類儲存庫:
- 法務或許可限制明確禁止 AI 處理的儲存庫。
- 客戶專屬、高保密、涉密或強合規儲存庫。
- 含生產金鑰、資料 dump、日誌樣本的儲存庫。
- 還沒完成安全評審的歷史 monorepo。
儲存庫 blocklist 要和 GitHub/GitLab 許可權一起看。不要讓 Cursor 側 blocklist 成為唯一防線。
6. 整合許可權
Slack
Slack 整合允許在 Slack 中觸發 Cloud Agents。Cursor 需要讀取訊息、釋出響應和訪問 channel metadata。上線時應限制可安裝 workspace、可使用 channel、觸發者範圍和審計方式。
GitHub、GHES(GitHub Enterprise Server,私有部署版 GitHub)和 GitLab
版本控制整合讓 Cloud Agents 能讀取儲存庫並建立 PR。它需要 repository read access,以及建立 PR 的 write access。應按最小許可權只授權必要儲存庫。
Linear
Linear 整合允許從 issue 啟動 Cloud Agents。Cursor 需要讀取 issue 並更新狀態。上線時要確認哪些專案可觸發 Agent、生成 PR 是否必須經過人工 review。
7. 商業級驗收
- 模型訪問控制已按團隊、專案或風險等級配置。
- 新模型 opt in 由平臺 owner 審批,不預設全員開放。
- BYOK 已停用,或有清晰的供應商、資料和團隊邊界。
- MCP allowlist 由 Team Dashboard 或 MDM 統一管理。
- 沒有生產環境
*:*MCP allowlist。 - stdio MCP server 固定版本,不使用不受控 latest。
- Repository Blocklist 覆蓋停用儲存庫和高風險儲存庫。
- Slack、GitHub、GitLab、Linear 整合都按最小許可權授權。
- 整合觸發的 Cloud Agents 必須產出 PR、日誌或可審計工件。
8. 常見失敗點
- 只限制模型價格,不限制模型風險和新模型 rollout。
- 允許個人 BYOK 後,還按 Cursor included model 的隱私承諾答覆審計。
- 把 MCP 當普通外掛,沒有審查外部 server 的讀寫許可權。
- 使用
*:*allowlist,導致任何 MCP tool 都能執行。 - stdio MCP 使用
latest,每次安裝的實際程式碼不可復現。 - GitHub app 授權整個組織,而不是最小儲存庫集合。
- Slack 任意頻道都能觸發 Cloud Agents,缺少 owner 和審批。
官方來源
- https://cursor.com/docs/enterprise/model-and-integration-management.md
- https://cursor.com/docs/models-and-pricing.md
- https://cursor.com/docs/mcp.md
- https://cursor.com/docs/integrations/slack.md
- https://cursor.com/docs/integrations/github.md
- https://cursor.com/docs/integrations/linear.md
- https://cursor.com/docs/account/teams/dashboard.md