Разработчик Финн выявил внутренний идентификатор новой модели Cursor при анализе API-эндпоинта. Вместо ожидаемого обозначения «Composer 2» в ответе сервера содержался идентификатор kimi-k2p5-rl-0317-s515-fast, который разработчик опубликовал в социальной сети. Пост получил 444 тысячи просмотров.
Обнаружение произошло 20 марта 2026 года при отладке кода. Разработчик не целенаправленно искал информацию о новых моделях, а случайно обнаружил идентификатор в стандартном ответе API.
По информации разработчика, строка с идентификатором не была переименована или скрыта в коде. Это позволило третьему лицу получить доступ к внутренней номенклатуре модели до официального анонса.
Компания Cursor проводила подготовку к запуску с использованием кастомных тестов производительности и ценовой стратегии. Раскрытие внутреннего идентификатора произошло до официального представления модели на рынке.
Инцидент демонстрирует риск утечки информации через недостаточно защищённые API-эндпоинты. Аналитики отмечают важность проверки возвращаемых данных перед развёртыванием в продакшене.
Источник: Habr AI
