主要观点：作者在下载 Cursor 安装程序时弹出 LuLu 警报，发现下载的其实是由 todesktop 管理的程序，进而对 todesktop 进行调查，发现其存在多种安全问题，如通过 Firebase 云函数的任意 S3 上传漏洞、利用 postinstall 脚本劫持部署管道获取到包含敏感信息的配置文件及硬编码的 Firebase 管理员密钥等，作者利用这些漏洞可向使用 todesktop 的应用推送自动更新并获取 RCE，todesktop 响应迅速并补偿作者，Cursor 也给予作者 50k 美元补偿。
关键信息：

• 下载 Cursor 安装程序时弹出 LuLu 警报，显示“Install Cursor”要连接“download.todesktop.com”。
• todesktop 是 electron 应用打包服务及 SDK 提供商，作者下载的安装程序由其管理。
• 在 Firebase 中发现 insecure 集合“temporaryApplications”，其他部分看似安全。
• todesktop CLI 管理多种操作且有 sourcemaps，通过其中的“getSignedURL”发现任意 S3 上传漏洞。
• 利用 postinstall 脚本劫持部署管道，获取到包含苹果 ID、远程签名和 HSM 凭证的“config.json”文件。
• 拥有的凭证可向使用 todesktop 的应用推送自动更新并获取 RCE，受影响应用包括 Clickup、Cursor、Linear、Notion Calendar 等。
• todesktop 已采取措施，构建容器有特权侧车处理相关操作，todesktop 的响应很棒并补偿作者，Cursor 也给予 50k 美元补偿。
  重要细节：
• 作者通过各种工具和技术进行安全调查，如 devtools、sourcemapper 等。
• todesktop 已发布安全事件报告这里。
• 作者共获得 5k 美元报酬，Cursor 给予 50k 美元补偿。