Cursor没有当即回应评论请求。基于狂言语模子的代码帮帮若是利用时缺乏脚够的隆重,最初,Cursor供给列表试图防备此类问题。通过将rm号令添加到列表,例如,那么位于以色列特拉维夫的Backslash暗示,成功并不需要网页。Naamneh和Gold暗示:Cursor的列表不靠得住。正在bash中能够通过利用双引号或多组引号来绕过列表,因而。或者智能体能够从包含恶意指令的外部坐点获取并施行内容。智能体施行肆意号令的能力意味着Cursor针对从动运转/YOLO模式变乱的其他防御办法(如文件删除防止)都是无用的。如许就无法明白所有潜正在的变体。Cursor用于防止其智能体删除数据的所谓平安办法之一严沉不脚,以及防止文件被删除的复选框。Pik注释说:智能体只需要处置包含注入号令的文件、法则或响应——无论是当地的、共享的仍是近程获取的。使用平安阐发师Musta Naamneh和Micah Gold正在博客文章中暗示:我们发觉了不少于四种体例,若是利用YOLO一词——你只活一次——还不脚以该公司对计较机平安的处置体例,据Backslash Security称,旨正在可能形成的损害范畴。据演讲此问题的Backslash称!无需正在每个步调都获得人工核准。但正在本文发布时该版本尚不成用。如README或代码正文。但无法被入侵的智能体运转它想要的任何号令。用户可能需要三思尔后行。正如企业家Jason Lemkin比来利用Replit AI编程东西的履历所显示的,答应Cursor智能体施行多步调编程使命,Cursor智能体该当无法利用该号令删除文件。例如,虽然它可能智能体天实地运转某些Linux号令,YOLO模式,或称从动运转模式,一些Cursor用户采用了冗长的列表。开辟者可能会从随机GitHub存储库导入rules.mdc文件——可沉用的智能体指令——而不合错误其进行审核。该模式配备了几项设置,Cursor智能体施行风险号令还有其他体例。可能会做出删除出产数据库等激烈行为。此类号令若何达到Cursor智能体?据Naamneh和Gold称,Backslash Security结合创始人兼首席手艺官Yossi Pik告诉The Register,Cursor的AI编程智能体正在YOLO模式下能够从动运转。被入侵的智能体能够绕过Cursor列表并施行未经授权的号令。这些设置包罗:答应列表(使特定号令对智能体可用)、列表(指定智能体不该挪用的号令),智能体能够处置来自共享代码库的注入文本,Cursor筹算正在1.3版本中弃用列表功能?
安徽伟德国际(bevictor)官方网站人口健康信息技术有限公司
