Prywatność i bezpieczeństwo

Twoja firma właśnie zatwierdziła Cursora dla zespołu inżynierskiego, ale przegląd bezpieczeństwa zgłosił trzy obawy: kod jest wysyłany do zewnętrznych dostawców AI, agenci mogą wykonywać dowolne polecenia w terminalu, a serwery MCP tworzą połączenia sieciowe, których zespół nie w pełni rozumie. Twój CISO chce odpowiedzi, zanim wdrożenie będzie kontynuowane.

To nie jest hipotetyczny scenariusz — to standardowa rozmowa, która ma miejsce przed każdym wdrożeniem Cursora w przedsiębiorstwie. Zrozumienie modelu bezpieczeństwa Cursora i wiedza, które kontrole włączyć, jest niezbędne do używania go w środowiskach produkcyjnych z wrażliwymi bazami kodu.

Czego się nauczysz

• Jasne zrozumienie, jakie dane Cursor wysyła do dostawców AI, a co pozostaje lokalnie
• Konfiguracja trybu prywatności i jego kompromisy
• Kontrole bezpieczeństwa poleceń terminalowych i bezpieczna konfiguracja auto-run
• Kwestie bezpieczeństwa serwerów MCP
• Funkcje enterprise: SSO, SCIM i możliwości audytu

Jakie dane opuszczają twój komputer

Domyślnie Cursor wysyła następujące dane do dostawców modeli AI:

• Kontekst kodu: Pliki i fragmenty kodu zawarte w twoim prompcie (przez wzmianki @file, otwarte karty lub eksplorację agenta)
• Tekst promptu: Instrukcje w języku naturalnym, które wpisujesz
• Wyjście terminala: Gdy agent uruchamia polecenia i czyta wyjście
• Wyniki wyszukiwania: Gdy agent przeszukuje twoją bazę kodu, dopasowany kod jest wysyłany jako kontekst

Cursor nie wysyła całej twojej bazy kodu. Wysyła tylko konkretne pliki i fragmenty kodu, które są istotne dla bieżącego promptu. Indeks wyszukiwania semantycznego jest budowany lokalnie i odpytywany lokalnie — tylko wyniki są dołączane do żądania AI.

Tryb prywatności

Tryb prywatności zapewnia, że twój kod nie jest przechowywany ani używany do trenowania przez dostawców AI. Włącz go w Cursor Settings > Privacy. Gdy tryb prywatności jest włączony:

• Kod wysłany do modeli AI nie jest zatrzymywany po wygenerowaniu odpowiedzi
• Twoje prompty i kod nie są używane do trenowania ani ulepszania modeli
• Cursor nie buforuje twojego kodu na swoich serwerach poza tym, co jest potrzebne do wygenerowania odpowiedzi

Uwaga

Cloud Agents (dawniej Background Agents) działają z włączonym trybem prywatności — to częste nieporozumienie. Uruchamiają się w izolowanych maszynach wirtualnych w chmurze na infrastrukturze AWS Cursora; Cursor przechowuje zaszyfrowaną kopię twojego kodu tylko w trakcie działania agenta, kasuje ją później i nigdy na niej nie trenuje. Płacisz za to utratą lokalnej kontroli: agent automatycznie uruchamia każde polecenie terminala (bez zatwierdzania pojedynczych poleceń) i ma dostęp do internetu, co zwiększa ryzyko prompt injection i eksfiltracji. Jeśli twoja polityka zabrania jakiegokolwiek przechowywania kodu źródłowego w chmurze, nie włączaj Cloud Agents (lub użyj surowszego trybu maksymalnej prywatności „Ghost”, który je wyłącza) i pozostań przy lokalnym trybie Agent.

Bezpieczeństwo poleceń terminala

Agenci mogą sugerować i uruchamiać polecenia terminala. Na macOS (>v2.0) i Linuksie (>v2.3.0-pre) Agent uruchamia je w piaskownicy ograniczonej do workspace, z domyślnie zablokowanym dostępem do sieci; polecenia wykonują się automatycznie, dopóki pozostają w obrębie piaskownicy. Polecenie, które musi wyjść poza piaskownicę — lub jakiekolwiek polecenie na Windowsie bez WSL czy devcontainera — wraca do trybu wymagającego ręcznej zgody. Lista dozwolonych poleceń (Command Allowlist) i monity o zatwierdzenie to najważniejsze kontrole bezpieczeństwa w tym miejscu: polecenie, które dotyka sieci lub wychodzi poza workspace, nie uruchomi się po cichu.

Bezpieczna konfiguracja auto-run

Auto-run nie konfiguruje się przez wpisanie promptu w języku naturalnym — to ustrukturyzowana Command Allowlist plus zestaw przełączników w Cursor Settings > Agents > Auto-Run. Ustaw tryb auto-run na „Run in Sandbox”, a następnie dodaj polecenia, którym ufasz na tyle, by uruchamiały się poza piaskownicą, do Command Allowlist. Wszystko, czego nie ma na liście dozwolonych, nadal podlega piaskownicy (sieć zablokowana, ograniczenie do workspace) lub wymaga zatwierdzenia.

Wskazówka

Wpisy Command Allowlist dla typowego repozytorium aplikacji:

Dodaj je do Command Allowlist (Cursor Settings > Agents > Auto-Run):

vitest
jest
pytest
npm test
go test
tsc
npm run build
cargo build
eslint
prettier
ruff

Celowo pozostaw destrukcyjne i dotykające sieci polecenia poza listą dozwolonych — git push, git rebase, git reset, rm, rmdir, curl, wget, ssh i wszystko z sudo. Przy wyłączonym dostępie do sieci w auto-run piaskownica bez sieci już neutralizuje curl/wget/ssh, nawet jeśli próba prompt injection przemyci jedno z nich. Trzymaj File-Deletion Protection włączone, aby agent nie mógł kasować plików bez polecenia.

Co oznacza tryb “Run Everything”

Cursor ma tryb, który pomija wszystkie zatwierdzenia poleceń terminala. Oficjalna dokumentacja wyraźnie ostrzega przed jego używaniem: “Never use ‘Run Everything’ mode, which skips all safety checks.” To nie jest funkcja do włączania w jakimkolwiek środowisku, gdzie bezpieczeństwo ma znaczenie.

Lista dozwolonych działa na zasadzie najlepszej starań — dokumentacja przyznaje, że możliwe są obejścia. Traktuj ją jako warstwę wygody, nie granicę bezpieczeństwa. Zawsze przeglądaj kod wygenerowany przez agenta przed zatwierdzeniem, niezależnie od ustawień auto-run.

Bezpieczeństwo serwerów MCP

Serwery MCP (Model Context Protocol) rozszerzają możliwości Cursora, łącząc go z zewnętrznymi narzędziami i źródłami danych. Każde połączenie MCP wymaga twojej wyraźnej zgody. Po zatwierdzeniu poszczególne wywołania narzędzi nadal domyślnie wymagają zatwierdzenia przy każdym wywołaniu.

Najlepsze praktyki bezpieczeństwa MCP

• Instaluj serwery MCP tylko z zaufanych źródeł
• Przejrzyj, jakie możliwości zapewnia każdy serwer MCP, przed zatwierdzeniem połączenia
• Pamiętaj, że serwery MCP mogą wykonywać żądania sieciowe — zweryfikuj, dokąd trafiają dane
• W środowiskach enterprise utrzymuj zatwierdzoną listę serwerów MCP

.cursorignore dla wrażliwych plików

Użyj .cursorignore, aby uniemożliwić agentowi dostęp do wrażliwych plików:

# Secrets and credentials
.env
.env.*
*.pem
*.key
credentials/
secrets/

# Infrastructure credentials
terraform.tfstate
*.tfvars

# CI/CD secrets
.github/workflows/*secrets*

# Database dumps
*.sql.gz
*.dump

To uniemożliwia agentowi czytanie tych plików podczas eksploracji. W połączeniu z .gitignore zapewnia wielowarstwową ochronę przed przypadkowym ujawnieniem.

Notatka

.cursorignore blokuje agenta przed czytaniem plików. Nie zapobiega sugerowaniu przez agenta kodu, który odwołuje się do tych plików po nazwie. Jeśli zapytasz agenta o konfigurację .env, może on zmyślić zawartość na podstawie typowych wzorców.

Funkcje enterprise

SSO i SCIM

• SSO (Single Sign-On): Uwierzytelnianie SAML 2.0 przez twojego dostawcę tożsamości, z provisionowaniem Just-in-Time (JIT). Dostępne bez dodatkowych kosztów w planach Teams i Enterprise. Wymuszaniem SSO możesz zarządzać z panelu administracyjnego.
• SCIM: Automatyczne provisionowanie i deprovisionowanie użytkowników. Tylko Enterprise i wymaga aktywnego połączenia SSO — najpierw musisz skonfigurować SSO.

Integrują się ze standardowymi dostawcami tożsamości (Okta, Azure AD/Entra, Google Workspace i innymi przez WorkOS).

Reguły zespołowe dla polityk bezpieczeństwa

Użyj reguł zespołowych (zarządzanych z panelu Cursor) do wymuszania praktyk bezpieczeństwa:

Security requirements for all team members:
- Never hardcode API keys, passwords, or connection strings
- All secrets must come from environment variables
- Never run database migration commands in production environments
- Always use parameterized queries, never string concatenation for SQL
- Review all agent-generated code for injection vulnerabilities before committing

Reguły zespołowe z flagą “Enforce” nie mogą być wyłączone przez indywidualnych deweloperów.

Workspace Trust

Włącz workspace trust dla dodatkowego bezpieczeństwa przy otwieraniu niezaufanych repozytoriów:

{
  "security.workspace.trust.enabled": true
}

Po włączeniu, otwarcie nowego repozytorium prosi o wybór między trybem normalnym a ograniczonym. Tryb ograniczony limituje funkcje AI. Dla niezaufanych repozytoriów Cursor zaleca korzystanie z prostego edytora tekstu.

Kiedy coś nie działa

Przegląd polityki twierdzi, że Cloud Agents są niedostępne w trybie prywatności. To nieaktualne — Cloud Agents (dawniej Background Agents) działają z włączonym trybem prywatności; Cursor przechowuje zaszyfrowaną kopię tylko w trakcie działania agenta i nigdy na niej nie trenuje. Prawdziwe ograniczenia, które warto poruszyć z CISO, to fakt, że Cloud Agents automatycznie uruchamiają każde polecenie i mają dostęp do internetu. Jeśli zabronione jest choćby przejściowe przechowywanie kodu w chmurze, trzymaj pracę w lokalnym trybie Agent (lub surowszym trybie maksymalnej prywatności „Ghost”, który wyłącza agentów chmurowych).

Agent czyta plik, który powinien być tajny. Natychmiast zaktualizuj .cursorignore. Przejrzyj historię czatu, aby zobaczyć, jaki kontekst został wysłany. Zrotuj wszelkie poświadczenia, które mogły zostać ujawnione.

Serwer MCP wykonuje nieoczekiwane żądania sieciowe. Natychmiast wyłącz serwer MCP w ustawieniach Cursora. Sprawdź, do jakich danych serwer miał dostęp. Zainstaluj ponownie dopiero po zrozumieniu zachowania serwera.

Auto-run wykonuje coś, czego nie powinien. Zaostrz listę dozwolonych. Pamiętaj, że lista dozwolonych działa na zasadzie najlepszej starań. W środowiskach o wysokim poziomie bezpieczeństwa wyłącz auto-run całkowicie i zatwierdzaj każde polecenie ręcznie.

Co dalej

• Współpraca zespołowa — Wymuszaj praktyki bezpieczeństwa w całym zespole
• Niestandardowe reguły i szablony — Buduj reguły zawierające wymagania bezpieczeństwa
• Optymalizacja wydajności — Cursorignore poprawia zarówno bezpieczeństwo, jak i wydajność