Zentrale Schlüsselpunkte:
Cursor-IDEs explodieren im Jahr 2025 eine nach der anderenSechs Kategorien von SicherheitsvorfällenDieser Leitfaden basiert auf einem realen Vorfall, an dem mehr als 3200 Entwickler beteiligt waren und bei dem wirtschaftliche Verluste in Millionenhöhe entstanden. Auf der Grundlage realer Vorfälle werden in diesem Leitfaden Schutzlösungen auf Unternehmensebene entwickelt, die Organisationen beim Aufbau eines ”Defense-in-Depth”-Systems helfen.
Zentrum(Empfehlung):
- ❌ verbotener GegenstandPrivater API-Schlüssel, inoffizielle Erweiterungsquelle, automatisches MCP-Laden
- ✅ Pflichtfeld::Datenschutz-ModusAktivierung, MCP-Zero-Trust-Genehmigung, Überprüfung von Abhängigkeiten, Protokollüberwachung
- 🔄 periodischer Begriff: 30-Tage-Konfigurationsprüfung, 90-Tage-Schlüsselrotation, vierteljährliche eingehende Bewertung
I. Einführung in die Cursor IDE
1.1 Grundlegende Konzepte
Cursorist eine KI-gesteuerte integrierte Entwicklungsumgebung (IDE), die auf Visual Studio Code basiert und für moderne Entwicklungsabläufe konzipiert ist. Durch die Integration des Large Language Model (LLM) bietet Cursor Code-Generierung, intelligente Vervollständigung, automatische Reparatur und andere Funktionen, die die Entwicklungseffizienz erheblich verbessern.
Wesentliche Merkmale:
- Generierung und Vervollständigung von KI-Code (OpenAI, Anthropic, Google Vertex, etc. werden unterstützt)
- Model Context Protocol (MCP)-Integration zur Verbindung mit externen Tools und Datenquellen
- Datenschutz-Modus(Datenschutzmodus), der keine Verpflichtung zur Aufbewahrung des Codes beinhaltet
- SSO für Unternehmen und Team Management (Cursor Business)
- Regelbasierte Agentenkonfiguration (.cursorrules)
1.2 Stand des Marktes
Annahmequote: Wird von über 50.000 Organisationen genutzt, darunter über 250 Fortune-500-Unternehmen
Entwickler-Basis: Täglich Millionen von Entwicklern auf der ganzen Welt
Version Evolution:
- v1.0-v1.2: Erste Version mit mehreren großen Sicherheitslücken
- v1.3+: Kritische Patch-Veröffentlichung, behebt CVE-2025-54135, CVE-2025-54136, CVE-2025-59944
1.3 Architektonische Merkmale
Schlüsselarchitektur:
- Cursor Local IDE → MCP Configuration → External Tool Connections → LLM Reasoning → Code Suggestion and Auto Execution
Zentrale Risiken der Architektur:
KI-Agenten haben auf Entwicklerebene die Berechtigung, auf das Dateisystem zuzugreifen, Systembefehle auszuführen und Konfigurationsdateien zu ändern, was sie zu hochwertigen Angriffszielen macht.
II. 2025: Die Anatomie eines Sicherheitsvorfalls und die daraus gezogenen Lehren
2.1 Überblick über die sechs Ereignisse und Entwicklungspfade
Zeitleiste und Korrelation:
Wichtige Erkenntnisse:
Drei CVEs weisen auf zentrale Schwachstellen im MCP-Mechanismus hin (verantwortlich für 50%)
▸ Expansion und Abhängigkeit von der Lieferkette sind ein wichtiger Durchbruch (von 33%)
▸ Entwicklung des Modells des wirtschaftlichen Schadens: Datenschutzverletzung → Diebstahl von Vermögenswerten → Kostenausschöpfung
2.2 Ereignis 1: MCP Configuration Persistence RCE - CVE-2025-54136 (MCPoison)
Erkennungseinheit: Check Point Research
SchweregradCVSS 7.2 (Hoch)
RevisionCursor 1.3+
Angriffsablaufplan::
Aus dem obigen Panorama der MCPoison-Angriffskette geht hervor, dass die Sicherheitslücke CVE-2025-54136 eine Schwachstelle im MCP-Vertrauensmechanismus der Cursor-IDE ausnutzt. Ein Angreifer reicht zunächst eine scheinbar legitime MCP-Konfiguration zur einmaligen Genehmigung durch den Entwickler ein und ändert die Konfiguration dann Tage oder Wochen später, um den Shell-Befehl umzukehren. Das Hauptproblem besteht darin, dass Cursor Konfigurationsänderungen nicht erneut genehmigt, sondern sie automatisch lädt und ausführt, wodurch der Angreifer permanenten, versteckten und dauerhaften Zugriff erhält.
SanierungCursor 1.3: Automatische Wiederzulassung bei Konfigurationsänderungen nach Cursor 1.3
2.3 Ereignis 2: MCP Prompt Injection RCE - CVE-2025-54135 (CurXecute)
Erkennungseinheit: Aim Labs, Backslash Security, HiddenLayer
SchweregradCVSS 8.6 (kritisch)
RevisionCursor 1.3+
Technische Einzelheiten::
Angriffsrichtung: keine Änderung der MCP-Konfiguration, sondern Verwendung des MCP zur Rückgabe bösartiger Daten
Beispiel-Szenario-Diagramm:
CVE-2025-54135 nutzt einen Konstruktionsfehler bei der ”autonomen Ausführung” im Cursor-Agent-Modus aus. Die Angreifer setzten scheinbar legitime MCP-Dienste ein (z. B. Slack-Integrationen, GitHub-API-Proxys), versteckten Befehle in den zurückgegebenen Daten und veranlassten den Cursor-Agenten, die MCP-Konfiguration automatisch in ein bösartiges Skript zu ändern. Da der Agent standardmäßig ohne eine zweite Bestätigung ausgeführt wird, kann der Hacker ohne das Wissen des Entwicklers eine dauerhafte RCE-Backdoor erstellen.
2.4 Ereignis 3: Umgehung des Dateinamen-Falls - CVE-2025-59944
Erkennungseinheit: Lakera
Schweregrad: Hoch
Revision: Cursor 1.7+
Grundsätze der Anfälligkeit::
Cursorschutzregeln (Groß- und Kleinschreibung beachten):
protected_files = [
“.cursor/mcp.json”.,
“.vscode/tasks.json”.,
...
]
if (Pfad in protected_files) {
show_approval_prompt() // Genehmigungsdialog anzeigen
}
Problem: Das Windows/macOS-Dateisystem unterscheidet nicht zwischen Groß- und Kleinschreibung
Bypass-Methode: 
CVE-2025-59944 Umgehung der Groß-/Kleinschreibung bei Dateinamen Diese Sicherheitsanfälligkeit deckt ein häufiges Missverständnis über Cursor auf: die Annahme, dass alle Betriebssysteme Groß-/Kleinschreibung beachten. Ein Angreifer erstellt .cUrSoR/mcp.json (gemischte Groß- und Kleinschreibung), die unter Windows und macOS vom Betriebssystem automatisch als .cursor/ geparst wird - und umgeht damit vollständig die Schutzprüfungen von Cursor. Cursors .cursorignore schützt nur vor dem exakten Kleinbuchstaben .cursor/, wodurch bösartige Konfigurationen unbemerkt geladen werden können.
Betroffene Plattformen::
- macOSHFS+ (Groß- und Kleinschreibung wird nicht berücksichtigt)
- Windows (Computer)NTFS (Groß-/Kleinschreibung wird nicht berücksichtigt)
- Linuxext4 (Groß-/Kleinschreibung wird beachtet ✗ nicht beeinträchtigt)
2.5 Vorfall 4: Böswillige erweiterte Lieferkette - $500K Kryptowährungsdiebstahl
mal:: Juli 2025
Quelle (von Informationen usw.)Open VSX Registry (inoffiziell)
Downloads: 50.000+ mal
Schäden:: ~$500.000 USD
Fallstudien::
Dieser Vorfall verdeutlicht das größte Risiko auf dem Markt für Entwicklungswerkzeuge. Die Angreifer haben eine gefälschte ”Solidity Language Support”-Erweiterung (mehr als 50.000 Downloads) auf dem VS Code Marketplace veröffentlicht und Entwickler dazu verleitet, diese zu installieren. Sobald die Erweiterung aktiviert ist, lädt ein verstecktes PowerShell-Skript die ScreenConnect-Backdoor herunter und stellt einen Fernzugriff her. Die Programme Quasar RAT (Remote Access Trojan) und Stealer werden dann eingesetzt, um automatisch Browser-Kryptobasen, E-Mail-Clients und Kryptowährungs-Wallets zu scannen. Schließlich erlangt der Angreifer die Wallet-Seed-Phrase und überträgt alle Kryptowährungswerte. Der gesamte Prozess dauerte von der Installation bis zur vollständigen Kompromittierung nur eine Stunde und verursachte einen Schaden von über $500K.
Warum es funktioniert.::
- Open VSX Registry erzwingt keine erweiterte Signaturprüfung
- Cursor validiert standardmäßig keine Erweiterungsquellen (extensions.verifySignature = false)
- ✗ Vertrauensregister für Entwickler (sieht offiziell aus)
- ✗ Der Code ist im Kompilierungsprodukt versteckt
2.6 Vorfall 5: npm-Paketversorgungskette - 3200+ Code-Lecks bei Entwicklern
malMai 2025
bösartiges Paket::sw-cur, sw-cur1, aiide-cur
DownloadsAnhaltendes Wachstum (vor der Entdeckung)
Unfall:: 3200+ Entwickler
Social-Engineering-Analyse::
Dies ist der alarmierendste Angriff auf die Lieferkette im Jahr 2025. Der Angreifer macht sich die Kostenoptimierungsmentalität der Entwickler zunutze und veröffentlicht sw-cur (”der billigste Cursor-API-Wrapper”) in npm, was den Anschein erweckt, eine legitime API-Kosteneindämmungslösung zu sein. Wenn Entwickler jedoch require(‘sw-cur’) ausführen, stiehlt die versteckte Nutzlast unbemerkt sensible Informationen wie .env, private SSH-Schlüssel, AWS-Anmeldeinformationen und den Bash-Verlauf und installiert Keylogger. Nachdem ein infizierter Entwickler Code übertragen hat, werden alle nachgeschalteten Entwickler, die das Repository klonen und npm install ausführen, ebenfalls infiziert. In weniger als 24 Stunden erlangt der Angreifer die vollständigen Anmeldeinformationen von mehr als 3200 Entwicklern und hackt sich dann in das Intranet des Unternehmens ein, stiehlt den gesamten Quellcode und fügt sogar bösartigen Code in das Produkt des Kunden ein, um die Lieferkette zu kontaminieren.
2.7 Vorfall 6: Angriff auf das erschöpfte Budget
mal:: Dezember 2025
MechanismusOX Security (Forschungsteam)
Entdecken Sie den HintergrundEntwickler verbrennt versehentlich das monatliche Budget, was zu einer Untersuchung führt
Deep Link Attack - Cursor Budget Explosion Complete Link ist der wirtschaftlich verheerendste Angriff von Cursor im Jahr 2025.
Angreifer konstruieren bösartige tiefe Ketten:
cursor://deeplink?action=setUsageLimit&value=1000000
cursor://deeplink?action=startInfiniteRequests&model=gpt4
Teilen Sie es dem Benutzer per E-Mail oder Slack mit. Wenn der Nutzer darauf klickt, öffnet sich die Cursor-App automatisch und führt stillschweigend eine Reihe von Aktionen aus: Injiziert Parameter, öffnet die Befehlspalette, navigiert zur Abrechnungsseite und ändert das monatliche Budgetlimit auf $1.000.000. Der entscheidende Nachteil ist, dass diese Aktionen keine Validierung erfordern und auch nicht von einem Administrator genehmigt werden müssen. In der Folge löst eine zweite Deep Chain eine unendliche Anforderungsschleife aus, die Millionen von Token verbraucht und in nur 5 Minuten $1M+ an API-Gebühren verursacht. Unternehmenskonten wurden sofort gesperrt, was zu Serviceunterbrechungen, Finanzprüfungen und möglichen Untersuchungen wegen Datenschutzverletzungen führte.
Ergebnisse:
- Millionen von Token in einem Augenblick verbraucht.
- Die Kosten sind auf $1M+ angestiegen.
- Firmenkonten gesperrt
III. leitlinien für sicherheitskonfigurationen in unternehmen
3.1 Datenschutzschicht - Datenschutzmodus und -regeln
Cursor auf VSCODE Entwicklung basiert, kann der Benutzer Agent, fragen, bearbeiten Modus in den Entwicklungsprozess für ai Hilfsentwicklung verwenden.
Sicherheitsspezifikation und -konfiguration
Muss] mit Sicherheitsnormen entsprechen, verbieten die Übertragung von hohen dritten Klasse-Code, sollten die Unternehmen Code-Repository-Klassifizierung und Einstufung, wie hoch, mittel und niedrig, Code-Leck kann dazu führen, dass das Unternehmen den schweren Verlust des Vorschlags zu verbieten, die Verwendung von Cursor, nur mittlere und niedrige Risiko-Code-Repository verwenden, wird nicht geben, das Unternehmen das Geschäft, Algorithmen, geheime Schlüssel und andere Kern kritische Infrastruktur mit erheblichen Risiken.
[Muss] Manuelles Einschalten des “Datenschutzmodus”.”
Konfigurationselement:
Einstellungspfad: Einstellungen → Funktionen → Datenschutzmodus
Status: ✓ Aktiviert (alle Entwickler)
Überprüfen Sie die Befehlszeile:
# Überprüfung der Konfiguration des Datenschutzmodus in settings.json
cat ~/.cursor/settings.json | grep -i privacy
# Erwartete Leistung
“Datenschutzmodus”: true
Abdeckung des Datenschutzmodus:
✓ Code-Daten: keine dauerhafte Speicherung im Cursor-Server
✓ Modelltraining: wird nicht mehr für das Modelltraining verwendet
✓ Vektorielle Einbettung: nur vorübergehend im Speicher gespeichert (wird nach Abschluss der Anfrage gelöscht)
✓ Logging: no-op für alle Logging-Funktionen
Interaktion der Codebase-Indizierung mit dem Datenschutzmodus:
Abwägung zwischen Kosten und Leistung:
Die Leistung kann beeinträchtigt werden, wenn der Datenschutzmodus aktiviert ist 5-10%(weil die vorberechnete Cache-Einbettung nicht verwendet werden kann)
Beratung auf Unternehmensebene:
- Datenempfindlichkeit ≥ INTERNAL: Datenschutzmodus aktiviert
- Code enthält Kundendaten/PII: muss aktiviert sein
- Finanz-/Medizin-/Regierungssektor: muss Selbstentwicklungsmodelle ermöglichen und nutzen
3.1.2 Konfiguration der Codebase-Indizierung und Risikobewertung
[Erforderlich] Definieren Sie Dateien/Verzeichnisse, die von der KI nicht gelesen und indiziert werden dürfen.In Anlehnung an den Cursor selbst“Datei ignorieren”Mechanismus eine “.cursorignore”-Datei in der Codebase mit der gleichen Syntax wie .gitignore erstellen und intern die Codedateien oder Verzeichnisse definieren, die vom AI-Index nicht verwendet werden dürfen.
⚠️ Hinweis: [Sie müssen die Datei .cursorignore erstellen und die Dateien definieren, auf die nicht zugegriffen werden darf, bevor Sie das Codeverzeichnis in Cursor importieren können]
.Das Beispiel für .cursorignore ist unten dargestellt:
Nachdem die .cursorignore-Datei erstellt und geschrieben wurde, wird das Code-Verzeichnis in cursor
Dateien, die auf .cursorignore treffen, sind in AI-Kontextverweisen nicht auswählbar
Eine Matrix mit drei Programmkonfigurationen auf Unternehmensebene:
| Norm | Konfiguration 1: Null Vertrauen | Konfiguration 2: Ausgewogen (empfohlen) | Konfiguration 3: Hohe Leistung (nicht empfindlich) |
|---|---|---|---|
| Codebase-Index | ❌ AUS | ✅ EIN | ✅ EIN |
| Datenschutz-Modus | ✅ EIN (obligatorisch) | ✅ EIN (obligatorisch) | ⚠️ AUS (Genehmigung erforderlich) |
| Ausschluss sensibler Dokumente | alle ausschließen | .cursorignore Konfiguration | Keine besondere Konfiguration |
| semantische Suche | ❌ Nicht verfügbar | ✅ Begrenzte Verfügbarkeit* | ✅ Vollständig verfügbar |
| Qualität des Codeabschlusses | 🟡 Mittel | 🟢 Hoch | 🟢 Am besten |
| Auswirkungen auf die Leistung | ↓↓ 20-30% | ↓ 5-10% | ↑ Optimal |
| Datenschutz | 🟢 Höchste | 🟢 Hoch | 🟠 Mittel |
| Compliance-Risiko | ✅ GDPR/SOC2 Verabschiedet | ✅ GDPR/SOC2 Verabschiedet | ⚠️ Risikobewertung erforderlich |
| (Herstellungs-, Produktions- usw.) Kosten | Minimum (ohne Turbopuffer) | mittel | Hoch (Turbopufferspeicher)** |
| Anwendbare Industrien | Finanzen, Gesundheitswesen, Regierung | Allgemeine Unternehmensanwendungen | Quelloffene, unempfindliche Prototypen |
| Benutzererfahrung | infrastrukturelle | günstig | bemerkenswert |
| Komplexität bewältigen | (den Kopf) senken | mittel | Ihr (Ehrentitel) |
* Wenn der Datenschutzmodus eingeschaltet ist, enthält der Index nur die Codestruktur, nicht den vollständigen Quellcode.
3.1.3 Isolierung sensibler Dateien mit .cursorignore
[Obligatorisch] Verbietet die direkte Verwendung externer Regeldateien.
1. die Funktion der Cursor-Regeln
https://docs.cursor.com/context/rules
Regeln sind unterteilt in: Benutzerregeln, Projektregeln
| Benutzerregeln festlegen: Fragen Sie nach “Ich bin nicht gechattet”.”
Projektregeln festlegen: “Ich bin deepseek” muss ausgegeben werden.” | Die Antworten werden nach den Regeln von RULES beim Chatten gegeben: |
# .cursorignore-Beispielkonfiguration (im Stammverzeichnis des Projekts abgelegt)
Die Anpassung über .cursorrules ermöglicht die weitere Erforschung der Sicherheitseinschränkungen von Anwendungen
Referenz:https://github.com/PatrickJS/awesome-cursorrules
Cursor-Ausschlussdatei-Methode
Referenz:https://cursor.com/cn/docs/context/ignore-files#-1
Beispiel:
.cursorignore
config.json # Spezifische Datei
dist/ # Verzeichnis
*.log # Dateierweiterung
**/logs # Verschachtelte Verzeichnisse
!app/ # Vom Ignorieren ausschließen (negieren)
Überprüfung der Konfiguration
Cursor-Einstellungen → Codebase-Indizierung → Ausgeschlossene Patterns
3.2 MCP Trust Management - Zero-Trust-Architektur
3.2.1 MCP-Governance-Rahmen (Schlüssel)
MCP Zero Trust GovernanceKriterien:
Grundlegende Prinzipien:
Standardmäßig verweigern: Alle MCP-Server werden standardmäßig verweigert.
Explizite Genehmigung: muss von Fall zu Fall ausdrücklich genehmigt werden
Regelmäßige Überprüfung: periodische Überprüfung und Rotation
Immutable Audit: Audit-Protokolle können nicht manipuliert werden
4-stufiger Verteidigungsrahmen:
3.2.2 MCP-Profilverwaltung
Beispiel: Unternehmen .cursor/rules/mcp.json
{
“Version”: “1.0”,
“mcpServer”: {
“github-api”: {
“Befehl”:“/opt/mcp-servers/github-wrapper.sh”,
“args”: [“-token”, “${GITHUB_TOKEN}”],
“env”: {
“ALLOWED_REPOS”: “org/repo1,org/repo2”,
“MAX_API_CALLS”: “100”
},
“sandboxConfig”: {
“Netzwerk”: {
“allowedDomains”: [“api.github.com”, “github.com”],
“maxBandbreite”: “5Mbps”
},
“Dateisystem”: {
“ReadOnly”: [“/app/config”],
“temporär”: [“/tmp”]
}
},
“approvalInfo”: {
“approvedBy”: “security@company.com”,
“approvalDate”: “2026-01-15T10:30:00Z”,
“approvalHash”: “sha256:abc123...”,
“expirationDate”: “2026-01-15T10:30:00Z”,
“reviewNotes”: “Wird für automatische Kommentare zur Codeüberprüfung verwendet”
}
},
“custom-plugin”: {
“comment”: “❌ DEPRECATED - REMOVED BY 2026-02-01”.,
“Befehl”: “/opt/mcp/deprecated.sh”,
“sandboxConfig”: { “disabled”: true }
}
},
“trustSettings”: {
“requireReapprovalOnConfigChange”: true,
“reapprovalIntervalDays”: 90,
“auditLogPath”: “/var/log/cursor-mcp-audit.json”
}
}
IV. Checkliste für die Unternehmensumsetzung und bewährte Verfahren
4.1 Checkliste für die Unternehmenseinführung
Cursor_Sicherheit_Hardening_Master_Checkliste
Ergebnis: Geringeres Risiko bekannter Cursor-IDE-Angriffe für 95%+
4.2 Verhaltenskodex für Entwickler
Leitfaden für Entwickler zur sicheren Verwendung von Cursor
## Muss man wissen (5)
✅ Der Datenschutzmodus muss aktiviert sein Einstellungen → Datenschutzmodus → Aktiviert
MCPs können nur genehmigte Listen verwendenÜberprüfen Sie das interne Wiki. Möchten Sie den neuen MCP nutzen?
✅ Erweiterungen, die nur vom offiziellen VS Code Marketplace installiert werden Verbotene Verwendung von Open VSX oder anderen Quellen, nützliche Erweiterungen in Open VSX gefunden? Feedback an das Sicherheitsteam
✅ Geben Sie den Schlüssel nicht im Code oder in der Eingabeaufforderung an.Umgebungsvariable verwenden: process.env.API_KEY Kein Hardcode: sk_live_1234567890abcdef (❌ Fehler)
✅ Regelmäßig prüfen, ob .cursorignore gültig ist oder nicht
Validierung: Cursor-Einstellungen → Codebase-Indizierung → Ignorierte Patterns
Sollte alle sensiblen Dateien (.env, *.pem, Kennwörter usw.) enthalten.
Die Cursorsicherheit ist nicht nur ein technisches Problem, sie ist auchOrganisationskultur und -abläufeDie Manifestation dieser Tatsache. Es wird empfohlen, dass Unternehmen ihren aktuellen Reifegrad auf der Grundlage des SAMM (Software Assurance Maturity Model) bewerten und einen stufenweisen Härtungsplan entwickeln. Bei der Verfolgung einer effizienten Entwicklung ist dieSicherheit steht immer an erster Stelle..
V. Referenzen
[1] (2026). Sicherheit für Ihren Quellcode und Ihre Entwicklungsumgebung. https://cursor.com/security
[2] (2025). Datenschutzmodus: Keine Vorratsdatenspeicherung. https://cursor.com/docs/privacy-mode
[3] (2025). SSO für Unternehmen und Team-Management. https://cursor.com/teams
(4) (2025): Cursor Windsurf Google Antigravity Supply Chain Attack Analysis. https://www.cncso.com/ai-ide-cursor-windsurf-google-antigravity-report.html
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://www.cncso.com/de/cursor-ide-secure-development-guide.html
