Este repositório contém a skill Maestro e scripts Python/PowerShell que rodam localmente na máquina do usuário. Eles leem pastas de skills (~/.cursor/skills, ~/.agents/skills) e gravam um manifest em ~/.cursor/skills-manifest.json. Não há servidor, telemetria nem envio de dados para terceiros.
| Versão | Suportada |
|---|---|
main |
Sim |
- Execução insegura de comandos ou path traversal nos scripts
- Leitura/escrita fora dos diretórios documentados sem consentimento do usuário
- Vulnerabilidades em dependências usadas em CI (GitHub Actions)
Não é escopo deste repo: vulnerabilidades em skills de terceiros instaladas na sua máquina, nem no Cursor IDE em si.
- Não abra Issue pública com detalhes de exploit.
- Abra um Security Advisory no GitHub ou envie descrição e passos de reprodução por canal privado acordado com o mantenedor.
- Inclua: versão/commit, SO, comando usado e impacto esperado.
Objetivo de resposta inicial: 7 dias úteis.
- Revise pacotes retornados por
npx skills findantes de instalar (npx skills add). - Use
~/.cursor/maestro-exclude.txtpara excluir skills sensíveis da busca. - O script
scripts/sync-templates.ps1sobrescreve.github/no repositório destino — confira o-TargetRepoantes de executar.