"O Cursor é seguro?" são duas perguntas no mesmo casaco. As pessoas querem dizer ou "é seguro usar o Cursor com meu código?" ou "o código que o Cursor escreve é seguro?" — e as respostas são bem diferentes.
Pergunta 1: A ferramenta Cursor é segura?
O Cursor é um editor baseado no VS Code. Roda local e seu projeto fica na sua máquina. Para a maioria, é razoável confiar na ferramenta:
- Privacy Mode — ativado, o Cursor indica que seu código não é armazenado nem usado para treino. Ative para código proprietário.
- Local-first — o editor trabalha nos seus arquivos locais; você hospeda o app resultante.
- Comandos do agente — o agente pode rodar comandos. Revise o que ele propõe antes de aprovar.
Para dados exatos e atuais (SOC 2, retenção), confira a página de trust/segurança oficial do Cursor.
Pergunta 2: O código que o Cursor gera é seguro?
Aqui está o risco real: não, a menos que você garanta. O Cursor é ótimo em produzir código que funciona. "Funciona" e "seguro" não são a mesma coisa. As vulnerabilidades dos apps feitos com Cursor são as mesmas de todo app vibe-coded: segredos hardcoded, sem auth, input sem validação, RLS do Supabase desligado.
O perigo específico do Cursor é a velocidade de aceitação: você clica "accept" num diff, funciona, segue — e a chave hardcoded já foi publicada. Um .cursorrules guia o estilo, mas não força segurança.
Como fazer o Cursor escrever código mais seguro
- Peça explícito: "use variáveis de ambiente, valide o input e adicione auth".
- Adicione regras em
.cursorrules(sem segredos no cliente, sempre limitar queries ao usuário). - Leia o diff antes de aceitar: chaves,
findMany()semwhere, SQL montado com strings.
Verifique o que você realmente publicou
O Nurbak escaneia seu app feito com Cursor de fora: segredos expostos, endpoints sem auth, RLS aberto e headers faltando, com relatório priorizado. Cole a URL e veja o resultado em segundos.