合規與監控
用 Audit Logs、Hooks、SIEM、Trust Center 和 AI code tracking 建立 Cursor Enterprise 合規監控閉環。
合規與監控要回答的不是“Cursor 有沒有審計日誌”,而是組織能不能在事後說明:誰改了什麼設定、誰獲得了訪問、哪些自動化在執行、哪些 AI 活動需要額外記錄。
核驗日期:2026-05-09。Audit Logs(審計日誌)、事件型別、streaming 方式、Trust Center 檔案和 Enterprise 開關可能變化;審計前必須按官方文件和當前後臺複核。
1. 一句話判斷
Cursor Enterprise Audit Logs 記錄安全事件和管理動作,但不記錄 Agent responses 或 generated code content。需要開發活動合規日誌時,要用 Hooks 補足。
所以合規方案要分兩層:後臺審計看管理行為,Hooks 看開發活動後設資料。
2. Audit Logs 覆蓋哪些事件
官方說明 Enterprise Audit Logs 會記錄這些型別:
- Authentication events:登入、登出。
- User management:透過 SSO、邀請、註冊、team 建立、auto-enrollment 增加使用者;移除使用者;角色變化;個人 spend limit。
- API key management:team 和 user API key 建立、撤銷。
- Team settings:團隊級和使用者級 spend limit、admin settings、team name、Slack integration settings、repository mappings。
- Repository management:repository 建立、刪除、settings 更新。
- Directory groups:目錄組建立、更新、刪除、成員變化、許可權修改。
- Privacy settings:使用者或團隊級 Privacy Mode 變化。
- Team rules:Team rules 和 Bugbot rules 的建立、更新、刪除。
- Team commands:自定義 team command 建立、更新、刪除。
這些日誌適合回答“誰改了治理設定”。它不適合直接回答“Agent 生成了哪段程式碼”。
3. Audit Logs 不記錄什麼
官方明確說明:Audit Logs 不記錄 agent responses 或 generated code content。
這是一條很重要的邊界。安全團隊如果要求記錄 prompt、檔案、生成程式碼或 Agent 具體操作,要單獨設計 Hooks 或程式碼儲存庫審計方案。
建議優先記錄 metadata,而不是完整內容:
- user / service account。
- timestamp。
- repository。
- file path。
- command category。
- hook decision。
- policy violation type。
不要預設把完整 prompt 或程式碼傳送到合規系統,因為裡面可能包含金鑰、客戶資料或 proprietary code。
4. 訪問、搜尋與匯出
Audit Logs 可在 Team Dashboard 的 audit log 頁面檢視,需要 Enterprise plan 和 admin access。
後臺支援按這些維度過濾:
- date range。
- event type。
- actor。
過濾結果可以匯出 CSV,用於審計報告、月度覆盤或事件調查。
5. Streaming 到安全系統
企業合規更適合把 Audit Logs 流式接入已有系統:
- SIEM(Security Information and Event Management,安全資訊和事件管理平臺),例如 Splunk、Sumo Logic、Datadog。
- Webhook endpoint。
- S3 bucket。
- Elasticsearch、CloudWatch 等日誌聚合系統。
官方文件說明如果需要 streaming audit logs,需要聯絡 Cursor。
落地時建議先定義三類告警:
- 身份異常:異常登入、離職後訪問、角色突然升級。
- 策略異常:Privacy Mode、spend limit、model access、repository mapping 被修改。
- 自動化異常:service account、API key、Slack integration、team command 頻繁變化。
6. Hooks 補開發活動日誌
Audit Logs 負責管理動作,Hooks 負責開發活動中的策略點。
適合用 Hooks 記錄:
- prompt submitted 的 metadata。
- code generated 的 file path 和 policy result。
- terminal command 的命令型別和審批結果。
- file read / file write 的路徑和阻斷原因。
- DLP、secret scan、license scan 的透過或拒絕狀態。
一個合規 hook 不應預設上傳完整程式碼。更穩的做法是隻記錄 metadata:
e="generation"
f="$CURSOR_FILE"
t="$(date -u +%FT%TZ)"
curl -d "$e $f $t" "$LOG_URL"實際實現時再按公司 DLP 與日誌規範補使用者、儲存庫、策略結果和 request id。
7. Trust Center 與合規材料
Cursor 官方說明可透過 Trust Center 獲取合規材料,包括:
- SOC 2 reports。
- Penetration test summaries。
- Security architecture documentation。
- Data flow diagrams。
這些檔案有版本和有效期。安全審查、續約、年度審計不要複用舊下載件。
8. Responsible disclosure
發現 Cursor 安全漏洞時,官方要求透過 responsible disclosure 流程上報,並提供漏洞描述、復現步驟、截圖或 proof of concept。當前官方郵箱是 [email protected]。
9. 商業級驗收
- Enterprise Audit Logs 已啟用並能由管理員訪問。
- 管理事件覆蓋身份、成員、API key、team settings、repository、directory group、Privacy Mode、team rules、team commands。
- 關鍵事件流式接入 SIEM、S3、Webhook 或日誌系統。
- Audit Logs 不記錄 Agent responses / generated code 的邊界已寫入合規說明。
- Hooks 負責記錄 prompt、檔案、命令、生成程式碼等開發活動 metadata。
- 不把完整程式碼、prompt、金鑰和客戶資料預設打到日誌系統。
- Trust Center、DPA、Privacy Overview 和 Data Flow 材料已按審計日期留檔。
- Responsible disclosure 聯絡方式寫進內部安全流程。
10. 常見失敗點
- 以為 Audit Logs 會記錄 Agent 生成的程式碼內容。
- 只在 Dashboard 手工看日誌,沒有接 SIEM 或長期儲存。
- 記錄完整 prompt 和程式碼,反而把敏感資訊複製到日誌系統。
- 沒監控 Privacy Mode、API key、Service Account、Slack integration 的變化。
- 合規材料用舊版本截圖,審計時無法證明當前有效。
官方來源
- https://cursor.com/docs/enterprise/compliance-and-monitoring.md
- https://cursor.com/docs/hooks.md
- https://trust.cursor.com/
- https://cursor.com/docs/enterprise/privacy-and-data-governance.md