Die Sicherheitsfirma Mindgard hat entdeckt, dass der KI-gestützte Code-Editor Cursor unter Windows jede ausführbare Datei startet, die im Stammverzeichnis eines Repositories liegt und git.exe heißt. Grund ist, dass Windows beim Ausführen von Git-Befehlen zuerst im aktuellen Verzeichnis nach der Datei sucht, bevor es reguläre PATH-Einträge prüft.
Zur Demonstration benannten die Forscher den Windows-Taschenrechner (calc.exe) in git.exe um und legten ihn in ein Test-Repository. Beim Öffnen dieses Repositories in Cursor startete der Taschenrechner automatisch – ein Beweis für beliebige Codeausführung allein durch das Öffnen eines nicht vertrauenswürdigen Projekts, ganz ohne weitere Interaktion.
Der Fehler tritt selbst dann auf, wenn die „Workspace Trust“-Funktion von Cursor im eingeschränkten Modus aktiviert ist, die eigentlich KI-/Agenten-Aktionen bei nicht vertrauenswürdigen Ordnern einschränken soll. Tests bestätigten, dass git.exe auch im Restricted Mode ausgeführt wird – anders als bei Visual Studio Code 1.129, das lokale Binärdateien im eingeschränkten Modus blockiert.
Laut Mindgard wurde die Schwachstelle direkt an die in Cursors security.txt veröffentlichte Sicherheitskontaktadresse gemeldet, gefolgt von wiederholten Versuchen über mehrere Kanäle – über einen Zeitraum von rund sieben Monaten blieb eine substanzielle Reaktion oder ein Fix aus. Dieses Schweigen führte letztlich zur vollständigen öffentlichen Offenlegung, da die Forscher dies als letzte Möglichkeit sahen, Nutzer zu warnen.
In der Reddit-Diskussion bezeichnen Nutzer den zugrunde liegenden Fehler als „trivial“ zu beheben, etwa durch Verwendung des vollqualifizierten Installationspfads von Git oder durch den Befehl „where git“ unter Ausschluss des aktuellen Verzeichnisses. Manche stellten fest, dass das Problem offenbar spezifisch für das PATH-Verhalten unter Windows ist und sich unter macOS nicht reproduzieren ließ. Andere merkten an, dass ein praktisches Risiko voraussetzt, bereits eine schädliche Datei im Projekt zu haben, vergleichbar mit anderen Malware-Risiken – dennoch gilt vielen die ausbleibende Reaktion des Herstellers als der eigentliche Skandal.