整合Chromium与Node.js的开源应用程序框架Electron，让开发者能够使用JavaScript、HTML和CSS打造跨平台的应用程序，然而如果开发者后续维护未能跟进使用新版Electron，就可能导致应用程序暴露在已知漏洞带来的安全风险中。

例如，近期安全厂商OX Security针对以AI为基础的集成开发环境（IDE）Cursor及Windsurf进行分析，发现开发商均采用过时版本的Visual Studio Code（VS Code）进行开发。由于旧版VS Code搭载了旧版Electron，导致这些AI开发工具内置的旧版Chromium及V8引擎存在多达94个已知安全漏洞，使得使用这两款IDE的180万用户面临相应的安全风险。

对此，OX Security于10月12日向两家开发商通报情况，Cursor承认通报内容，但认为该问题已超出其可处理范围；Windsurf则未作出回应。

为验证该问题，OX Security利用Google已于今年7月在Chromium中修复的安全漏洞CVE-2025-7656，对Cursor发起攻击，成功导致该IDE出现拒绝服务（DoS）现象。他们通过诱导受害者点击深层链接（deeplink）的方式实施攻击，此功能允许用户与他人共享提示（prompt）及命令。

当用户按指示打开链接后，Cursor会执行提示内容，并通过Simple Browser访问托管恶意载荷的远程网站。OX Security指出，由于恶意载荷并未嵌入提示内容中，因此无法通过扫描提示来发现异常。

OX Security强调，他们的概念验证虽仅导致Cursor崩溃，但也同时引发底层内存损坏问题，实际攻击者可借此实现远程代码执行。此外，其余93个漏洞同样可能被利用，因此他们认为该问题极为严重。