每周见闻:Cursor 的 Code Review 功能以及 .env 文件安全问题
每周见闻:2025-03-09 - 2025-03-16
周刊:此方的手帐 - 周刊
微信公众号:此方的手帐
思考
上周的潮流周刊上看到一段关于及时行乐的思考,有些触动。
假如这个东西是需要的,又是自己心动的,在价格上假如负担得起,那就买。年纪越大越觉得不要把想买的东西留到以后买,因为等到你老了时候已经没有当时感受了。
“以后、以后” 有多少以后呢?真的到了“以后”心境又是否会改变呢?人的心境是会变化的。以前很爱玩的魔兽与英雄无敌 3,现在打开也没有以前那样快乐。所以不要给自己上太多枷锁,能力范围内尽量对自己好一些。
AI
1、使用 Cursor 进行 Code Review(简易版)[^3]
标签:AI,Tools
一篇阿猫使用 Cursor 进行 Code Review 的实践,并且给出了配置。使用 Cursor 的朋友可以去参考一下。
我用的是 Windsurf。于是便仿照着编写了 Windsurf 的规则 —— 设定 Rules 让 Windsurf 进行 Code Review 已经发布在我的博客上与公众号上。
2、.env 文件安全问题 - Bug Reports - Cursor - 社区论坛[^4]
标签:Tools,Security
关于 Cursor 的安全问题,背景是一位用户发现 Cursor 会对 .env 文件进行提示,并且在进程中发现了上报的操作。.env 文件中会存放一些如数据库连接字符串、账户密码等敏感信息。这一问题会直接导致敏感数据的泄漏,从而引发重大的安全事故。帖子的作者给出了复现方式与视频链接,作者也因此暂停使用 Cursor。对此有担心的朋友可以关注一下。
这篇文章发表在 Cursor 的论坛,之后也得到了官方的回复。在新版的 Cursor 中引入了隐私模式与 .cursorignore 文件用来忽略指定文件。不过一些用户对官方的回复似乎并不买帐。
看了之后吓得我赶紧去看了 Windsurf 是否也有相关问题,索性暂时没有看到类似的问题。想到之前元宝的用户协议也引起了一波舆论,AI 时代下用户的数据隐私也是一个重要的问题。特别是当企业引入 AI 工具时,数据隐私会被格外看重。
工具
1、Repomix[^1]
标签:AI
一个可以把项目代码打包成 XML、Markdown、txt 这些对 AI 友好的格式。之前有在想能否利用本地知识库与 AI 配合构建一个能分析项目代码的机器人,但发现一般的代码文件并不适合。这个工具正好可以帮助做到这一点。
2、Node Modules Inspector[^2]
标签:Node.js,Tools
分析 Node.js 项目依赖的工具。有网页版可以体验,也可以本地安装分析本地项目。在网页版试验了一下,会从深度、模块类型、作者等几个维度给出分析结果。
最近准备着手优化项目的依赖,减小项目体积。这个应该可以用上。
参考文章
- [1] Repomix: https://repomix.com/
- [2] Node Modules Inspector: https://node-modules.dev/
- [3] 使用 Cursor 进行 Code Review(简易版): https://ameow.xyz/archives/simple-code-review-with-cursor
- [4] .env 文件安全问题 - Bug Reports - Cursor - 社区论坛: https://forum.cursor.com/t/env-file-question/60165/12