Cursor wprowadził funkcję Security Review w wersji beta dla użytkowników planów Teams i Enterprise. To zestaw dwóch aktywnych agentów bezpieczeństwa, które integrują się z workflow pull requestów i skanowania kodu. Security Review analizuje każdy PR pod kątem podatności, a drugi agent regularnie przeszukuje całe repozytorium w poszukiwaniu problemów.
Agenci działają w tle, pozostawiając komentarze przy liniach diffa i wysyłając powiadomienia na Slacka.
Co przynosi nowa funkcja Cursor Security Review
- Security Review sprawdza każdy pull request, szukając błędów autoryzacji, wycieków danych, ryzykownych autozatwierdzeń narzędzi agentowych oraz ataków prompt injection.
- Security Review wykonuje zaplanowane audyty bazy kodu, wykrywając znane podatności, przestarzałe zależności i błędy konfiguracji.
- Komentarze inline pokazują poziom krytyczności i sugerują kroki naprawcze w miejscu problemu.
- Wyniki skanów trafiają na Slacka, co pozwala całemu zespołowi na natychmiastowe zapoznanie się z nimi, bez potrzeby przeszukiwania dashboardów.
- Personalizacja agentów – można je dostosować własnymi instrukcjami, niestandardowymi narzędziami i integracjami z serwerami MCP.
Security Review – strażnik każdego pull requesta
Agent Security Review działa jak dodatkowy recenzent, który analizuje każdy PR. Szuka nie tylko oczywistych błędów, takich jak SQL injection czy hardkodowane sekrety, ale również ryzyk związanych z autozatwierdzaniem akcji narzędzi. Gdy agent IDE sam decyduje o wykonaniu komendy, może to otworzyć furtkę dla złośliwego kodu. Security Review identyfikuje także próby prompt injection, czyli sytuacje, w których ktoś przemyca instrukcje w komentarzach lub dokumentacji, wpływające na zachowanie AI.
Komentarze są umieszczane bezpośrednio w diffa, co pozwala zespołowi zobaczyć, co jest nie tak oraz jak to naprawić, bez konieczności przeszukiwania zewnętrznych raportów.
Security Review – regularne przeglądy całej bazy kodu
Drugi agent działa w inny sposób. Nie czeka na nowy kod, lecz skanuje repozytorium według ustalonego harmonogramu. Szuka znanych podatności w zależnościach, przestarzałych paczkach i błędach konfiguracyjnych, które mogły umknąć podczas przeglądu PR.
Wyniki skanów są wysyłane na Slacka, co pozwala zespołowi na szybkie reagowanie na problemy, zanim trafią na produkcję. Dla zespołów devopsowych i hostingowych to znaczące ułatwienie.
Cursor wykorzystuje te agenty wewnętrznie, przeglądając ponad 3000 PR-ów tygodniowo i identyfikując ponad 200 realnych podatności. To dowód na to, że narzędzie działa efektywnie w produkcji.
Dlaczego to ważne dla zespołów web dev i AI coding
W świecie szybkiego kodowania, gdzie kod powstaje bez głębokiej analizy, automatyzacja Security Review staje się koniecznością. Cursor kieruje swoją ofertę do zespołów, które korzystają z agentów AI do generowania kodu i potrzebują zapewnienia, że ani człowiek, ani model nie wprowadzą niebezpiecznych elementów.
Możliwość dostosowania agentów przez MCP i własne narzędzia to ważny krok w stronę potrzeb dużych firm.
Źródła
- Introducing Cursor Security Review: Automated Vulnerability Scanning and PR Analysis
- I Read Cursor's Security Agent Prompts, So You Don't Have To
- Cursor Security Review is now available! Automated vulnerability scans on every PR 🔥 | Brent Nicew…
- Cursor Security: How to Secure AI-Generated Code in 2026