每周见闻:Cursor 的 Code Review 功能以及 .env 文件安全问题

每周见闻:2025-03-09 - 2025-03-16

周刊:此方的手帐 - 周刊
微信公众号:此方的手帐

思考

上周的潮流周刊上看到一段关于及时行乐的思考,有些触动。

假如这个东西是需要的,又是自己心动的,在价格上假如负担得起,那就买。年纪越大越觉得不要把想买的东西留到以后买,因为等到你老了时候已经没有当时感受了。

“以后、以后” 有多少以后呢?真的到了“以后”心境又是否会改变呢?人的心境是会变化的。以前很爱玩的魔兽与英雄无敌 3,现在打开也没有以前那样快乐。所以不要给自己上太多枷锁,能力范围内尽量对自己好一些。

AI

1、使用 Cursor 进行 Code Review(简易版)[^3]

标签:AI,Tools

一篇阿猫使用 Cursor 进行 Code Review 的实践,并且给出了配置。使用 Cursor 的朋友可以去参考一下。

我用的是 Windsurf。于是便仿照着编写了 Windsurf 的规则 —— 设定 Rules 让 Windsurf 进行 Code Review 已经发布在我的博客上与公众号上。

2、.env 文件安全问题 - Bug Reports - Cursor - 社区论坛[^4]

标签:Tools,Security

关于 Cursor 的安全问题,背景是一位用户发现 Cursor 会对 .env 文件进行提示,并且在进程中发现了上报的操作。.env 文件中会存放一些如数据库连接字符串、账户密码等敏感信息。这一问题会直接导致敏感数据的泄漏,从而引发重大的安全事故。帖子的作者给出了复现方式与视频链接,作者也因此暂停使用 Cursor。对此有担心的朋友可以关注一下。

这篇文章发表在 Cursor 的论坛,之后也得到了官方的回复。在新版的 Cursor 中引入了隐私模式与 .cursorignore 文件用来忽略指定文件。不过一些用户对官方的回复似乎并不买帐。

看了之后吓得我赶紧去看了 Windsurf 是否也有相关问题,索性暂时没有看到类似的问题。想到之前元宝的用户协议也引起了一波舆论,AI 时代下用户的数据隐私也是一个重要的问题。特别是当企业引入 AI 工具时,数据隐私会被格外看重。


工具

1、Repomix[^1]

标签:AI

一个可以把项目代码打包成 XML、Markdown、txt 这些对 AI 友好的格式。之前有在想能否利用本地知识库与 AI 配合构建一个能分析项目代码的机器人,但发现一般的代码文件并不适合。这个工具正好可以帮助做到这一点。

2、Node Modules Inspector[^2]

标签:Node.js,Tools

分析 Node.js 项目依赖的工具。有网页版可以体验,也可以本地安装分析本地项目。在网页版试验了一下,会从深度、模块类型、作者等几个维度给出分析结果。

最近准备着手优化项目的依赖,减小项目体积。这个应该可以用上。


参考文章


每周见闻:Cursor 的 Code Review 功能以及 .env 文件安全问题
https://konata9.github.io/weekly/2025/03/16/10-每周见闻-20250309_20250316/
作者
Konata
发布于
2025年3月16日
许可协议