Cursor 开源四款安全智能体，自动拦截代码漏洞

Cursor 的安全团队构建了一组 AI 智能体，持续监控并保护公司代码库的安全。现在，他们决定开源这些智能体的模板和 Terraform 配置，让其他安全团队也能实现同样的自动化。

Cursor 的安全负责人 Travis McPeak 表示，这个项目源于一个常见的痛点：传统的安全工具（如代码所有者、linter、静态分析）跟不上公司代码的迭代速度。在工程师借助 AI 编程工具快速交付代码的环境下，传统工具显得力不从心。

“安全团队一直面临一个困境：需求太多，人手不够，”McPeak 说，“所以我们想：如何更聚焦地利用智能体来做安全，并在关键时刻介入？”

例如，仅靠代码所有者功能在 Cursor 的规模下不够精确，经常让安全团队卷入无关的 Pull Request，却漏掉真正重要的变更。Linter 又会产生太多误报。Cursor 新方法的核心在于：智能体能够从语义上理解代码变更的实际作用，而不是依赖传统的关键词或模式规则触发。

这些智能体运行在 Cursor Automations 上——这是 Cursor 最近推出的持续运行编码智能体平台。Automations 基于 Cursor 的云端智能体平台构建，为智能体提供了接收 webhook、响应 GitHub Pull Request、监控代码库变更的集成能力。这些智能体在后台持续运行，当 PR、webhook 事件或定时任务触发时，它们就会介入。

McPeak 的安全团队去年底获得了 Automations 内部版本的早期访问权限，并成为其首批重度用户。为了让智能体适配团队的安全工作流，他们构建了一个自定义的 MCP 工具，并将其部署为无服务器 Lambda 函数。

四款安全智能体

团队本周一开源了四款安全智能体的蓝图：Agentic Security Review、Vuln Hunter、Anybump 和 Invariant Sentinel。

其中最先被注意到的是 Agentic Security Review，它现在几乎运行在每一个 Pull Request 上，必要时可以阻断持续集成流程。它最初是 Cursor 现有通用代码审查智能体 Bugbot 的一个分支，但 McPeak 团队随后针对安全需求进行了专门调优。

McPeak 希望它的信号足够强，能够真正阻断代码合并。“当它说有问题时，我们有信心直接拦截。”他说。仅仅两个月，它已经在数千次 PR 上运行，并拦截了数百个问题进入生产环境。

第二款智能体 Vuln Hunter 每天扫描现有代码库。其思路是：如果老代码编写时就有 Agentic Security Review，它本应能发现那些现在仍在生产中潜伏的问题。Vuln Hunter 将代码分成逻辑段，指导智能体追踪漏洞直至根因。McPeak 指出，智能体必须能证明问题真实存在，才会向安全团队报告。

Anybump 负责依赖项补丁更新。McPeak 提到，很多安全工具会在第三方库中查找问题，但那些组件可能根本未被使用。“在我们做任何处理之前，会先运行可达性分析服务，判断漏洞是否真的影响我们。”

智能体会追踪代码路径、运行测试，如果测试通过就自动发起 PR。McPeak 表示，智能体做的分析比人工通常愿意做的更彻底，而且不会打断任何人的工作流。

第四款智能体 Invariant Sentinel 监控代码是否偏离团队定义的安全与合规属性：隐私保证、法律要求、高影响控制项。它每天运行，并利用 Automations 的记忆功能追踪多次运行间的状态变化。

智能体发现了什么

Vuln Hunter 发现了多个问题，例如：一个邮件发送服务缺少输入验证，可能被用作垃圾邮件中转；一个被遗忘的即时服务拥有过宽的访问权限，连基础设施团队都忘了它的存在；还有一个服务端请求伪造漏洞，需要跨多个服务追踪请求——这类基于逻辑的问题，静态分析工具很难处理，因为它依赖完整的跨服务上下文，而非单一代码路径。

McPeak 说，工程团队的反应异常积极。“我拿给工程师看，他们说：‘哇，这个抓得好。什么时候能用到所有地方？’”他说，“这对安全产品来说很不寻常——工程师居然会说：‘我喜欢这个，我想要。’”

为什么开源模板？

McPeak 指出，公司现在开源这些模板，部分原因是为了应对攻击者的行动——毕竟攻击者也在用 AI 寻找漏洞。

“如果我们不提升自身规模，整体安全状况会变得更糟，”McPeak 说。

由于这些自动化是基于提示的智能体，且工具可定制，其他团队应该能根据自身威胁模型进行调整。

“如果我给你一个二进制文件，它只会按 Cursor 的方式做安全，那你就没法自定义，”McPeak 说。

这对安全初创公司意味着什么？

一个有趣的方面是，这对专注于代码审查和依赖扫描的安全初创公司意味着什么。毕竟，评论员们最近花了很多时间讨论“SaaSpocalypse”。

McPeak 对此持开放态度。“我现在的观察是，如果你直接放入一个大语言模型，并给它合适的工具，它能做很多好事。”他指出，那些价值主张纯粹是调教模型行为的初创公司，可能会发现长期价值有限，但他相信，提供端到端工作流打包的公司仍有空间。不过，提示工程本身算不上护城河。

McPeak 表示，Cursor 计划逐步扩展该方法，涵盖漏洞报告接收、隐私合规监控、值班告警分诊、访问权限配置等场景。Agentic Security Review 已经从单一智能体演变为一个编排器，可以调用专用子智能体（包括专门的隐私检查），未来还会覆盖更多领域。这家为开发者提供 AI 辅助编程工具的公司，现在正用同样的工具来保护代码安全。