Die Cursor-Version von OpenClaw ist aufgetaucht. Kann die KI selbst Code überprüfen und Sicherheitslücken beheben? Ist das der Beginn der "Hummer-Freiheit" für Programmierer?
Kommt die Top-Version des "AI-Hummers" für Entwickler?
Nachrichten von Zhidongxi vom 6. März. In der Nacht von heute hat Cursor angekündigt, die OpenClaw-ähnliche Funktion – Cursor Automations zu veröffentlichen, die es dem AI ermöglicht, 24 Stunden am Tag, 7 Tage die Woche automatisch Code von Entwicklern zu überprüfen, zu überwachen und zu reparieren und auch den Entwicklungsprozess zu unterstützen.
Basierend auf dieser Funktion können Entwickler einfach Agenten konfigurieren, damit sie die Codebasis kontinuierlich überwachen und optimieren, und so eine echt automatisierte "Softwareentwicklungswerkstatt" schaffen. Und all diese Automatisierungsfähigkeiten werden von Cloud-Agenten angetrieben, die ihre eigene Rechenleistung nutzen, um Ergebnisse zu erstellen, zu testen und zu demonstrieren.
Atlasis, der Schöpfer des AI-Lerntools RRecallAI, sagte, dass sich die Entwicklung so fortsetzen werde, dass "in Zukunft müssen wir nur noch super tolle Roboterbetreuer sein". Ein anderer Entwickler sagte, er habe bereits mehrere Monate lang rund um die Uhr laufende Agenten über OpenClaw betrieben, und es sei klug von Cursor, diese Funktion in die IDE einzubauen. Ein weiterer Entwickler staunte und sagte, es sei verrückt, Cursor werde fast zum OpenClaw 🦞. Da das Logo und der Name von OpenClaw mit Hummern verbunden sind, wird das Einrichten von Agent-Assistenten auch als "Hummerzucht" bezeichnet.
Diese Agenten können nach einem von Entwicklern festgelegten Zeitplan ausgeführt werden oder durch verschiedene Ereignisse ausgelöst werden, wie das Senden einer Slack-Nachricht, das Erstellen eines neuen Linear-Tickets, das Zusammenführen eines GitHub-PR oder das Auslösen einer PagerDuty-Warnung. Entwickler können auch benutzerdefinierte Ereignisse über Webhooks konfigurieren.
Derzeit hat Cursor auf seiner offiziellen Website eine Reihe von automatisierten Agenten veröffentlicht, darunter 12 für die Reparatur von CI-Fehlern, die tägliche Zusammenfassung von Änderungen, das Entdecken von Sicherheitslücken und das Generieren von Dokumentationen.
Was die Preise angeht, hat Lee Robinson, Leiter der Cursor AI-Bildung, bei der Beantwortung von Fragen der Entwickler angegeben, dass diese Cloud-Agenten die gleichen Token wie in der Editor-Umgebung verwenden und von den Ultra-Abonnementrechten der Entwickler profitieren können.
Einige Entwickler haben jedoch die Sicherheit von automatisierten Agenten in Frage gestellt: Wenn ein Agent um 3 Uhr nachts einen Reparaturpatch zusammenführt und die Produktionsumgebung stört, wer trägt die Verantwortung? Und wenn autonome Agenten Änderungen gemäß den Auslösebedingungen vornehmen, ohne dass jemand beteiligt ist.
01. Steigern Sie die Effizienz der Codeüberprüfung, -überwachung und -wartung mit Automatisierungsfähigkeiten
Mit dem Aufkommen von Programmieragenten kann jeder Entwickler mehr Code produzieren, aber die Effizienz der Codeüberprüfung, -überwachung und -wartung hat sich nicht synchron verbessert.
Cursor sagt, dass diese Aktualisierung die Automatisierungsfähigkeiten nutzt, um die Skalierbarkeitseffizienz dieser Schritte im Entwicklungslifecycle zu verbessern.
Wenn ein automatisierter Agent aufgerufen wird, startet er eine Cloud-Sandbox, führt Befehle gemäß dem vom Entwickler konfigurierten MCP-Protokoll und dem Modell aus und überprüft die Ausgabe selbst.
Agenten können auch Memory-Tools nutzen, um aus früheren Ausführungen zu lernen und werden mit der Zeit genauer.
In den letzten Wochen haben Forscher mehr automatisierte Agenten in der eigenen Codebasis von Cursor ausgeführt und so zwei große Arten von Automatisierungsszenarien gebildet: Codeüberprüfung und -überwachung (Review and monitoring), Alltagsgeschäfte (Chores).
02. Rund um die Uhr automatisch Code überprüfen, überwachen und reparieren. Cursor hat drei Agenten intern deployed
In Bezug auf die Überprüfung und Überwachung kann die Automatisierungsfunktion für die Überprüfung von Codeänderungen verwendet werden. Sie kann verschiedene Probleme wie Inkonsistenzen in Code-Stil und -Format, Sicherheitslücken und Leistungseinbußen entdecken und beheben.
Der automatisierte Codeüberprüfungsagent Bugbot von Cursor wird bei der Erstellung oder Aktualisierung eines PR ausgeführt und wird täglich Tausende Male ausgelöst. Seit seiner Veröffentlichung hat er Millionen von Sicherheitslücken entdeckt.
Die neue Automatisierungsfunktion ermöglicht es Entwicklern, verschiedene Überprüfungsagenten für verschiedene Szenarien zu erstellen. Hier sind drei, die derzeit von Cursor intern verwendet werden:
Sicherheitsüberprüfung (Security review) Der automatisierte Agent wird jedes Mal ausgelöst, wenn Code in den Hauptzweig gepusht wird. Der Agent kann mehr Zeit investieren, um verstecktere und detailliertere Probleme zu finden, ohne den PR-Prozess zu blockieren.
Er prüft Sicherheitslücken in Codeunterschieden, überspringt automatisch Probleme, die bereits im PR diskutiert wurden, und sendet hochriskante Entdeckungen an Slack. Cursor sagt, dass diese Automatisierungsfunktion bereits mehrere Sicherheitslücken und schwere Fehler innerhalb von Cursor erfasst hat.
Intelligente Codeverantwortliche (Agentic codeowners) Der Agent klassifiziert das Risiko bei jeder PR-Erstellung oder Code-Push basierend auf dem Einflussbereich, der Komplexität und der Auswirkung auf die Infrastruktur.
PRs mit geringem Risiko werden automatisch genehmigt; PRs mit hohem Risiko werden je nach Beitragsgeschichte bis zu zwei Prüfer zugewiesen.
Alle Entscheidungen werden in Slack zusammengefasst und über MCP in die Notion-Datenbank aufgenommen, damit Entwickler das Verhalten der Agenten überprüfen und die Befehle optimieren können.
Ereignisreaktion (Incident response) Der automatisierte Agent wird bei einer PagerDuty-Warnung ausgelöst und startet einen Agenten, der Logs überprüft und kürzliche Änderungen in der Codebasis überprüft.
Anschließend sendet er eine Nachricht an den diensthabenden Ingenieur im Slack-Kanal, zusammen mit Überwachungsinformationen und einem PR mit einer Reparaturlösung, um die Reaktionszeit der Entwickler auf Störungen zu verkürzen.
03. Eigenständig Bugs finden, täglich frühzeitig Berichte an Benutzer senden und wöchentlich wichtige Änderungen zusenden
Forscher haben festgestellt, dass Automatisierung auch für alltägliche Aufgaben und Wissensarbeit, die die Zusammenführung von Informationen aus verschiedenen Tools erfordert, sehr nützlich ist.
Wöchentliche Zusammenfassung von Änderungen (Weekly summary of changes) Der automatisierte Agent sendet wöchentlich eine Zusammenfassung an Slack, die die wichtigen Änderungen in der Codebasis der letzten 7 Tage zusammenfasst und insbesondere die zusammengeführten Haupt-PRs, Bug-Fixes, technische Schulden, Sicherheits- und Abhängigkeitsupdates zeigt.
Testabdeckung (Test coverage) Der automatisierte Agent überprüft jeden Morgen den kürzlich zusammengeführten Code, um Teile zu identifizieren, die zusätzliche Testabdeckung benötigen. Er schreibt Tests gemäß den bestehenden Projektvorgaben und ändert nur bei Bedarf den Produktionscode. Nach dem Ausführen der relevanten Tests erstellt und sendet er einen PR.
Wenn ein Bug-Report im Slack-Kanal erscheint, Bug-Report-Triage Der automatisierte Agent prüft zunächst, ob es sich um ein wiederholtes Problem handelt, und erstellt ein Ticket über Linear MCP. Anschließend sucht der Agent in der Codebasis nach der Ursache und versucht, das Problem zu beheben, und antwortet schließlich im ursprünglichen Thread mit einer Zusammenfassung der Bearbeitung.
Abhishek Singh, ein Entwickler der amerikanischen Unternehmensverwaltungsplattform Rippling, hat bereits auf der Grundlage der Automatisierungsfunktionen von Cursor einen persönlichen Assistenten erstellt.
Singh sendet über den Tag hinweg Meetingprotokolle, To-Do-Listen, Aufgabenlisten und Loom-Video-Links an einen Slack-Kanal. Ein zeitgesteuerter Agent wird alle zwei Stunden ausgeführt, liest diese Inhalte, verknüpft gleichzeitig seine GitHub-PRs, Jira-Aufgaben und Slack-Erwähnungen, entfernt Duplikate aus mehrfachen Informationen und veröffentlicht dann eine übersichtliche Zusammenfassungsansicht.
Er nutzt auch die von Slack ausgelöste Automatisierung, um Jira-Aufgaben aus Dialogthreads zu erstellen und die Diskussionen in Confluence zu synchronisieren. Sie haben die Automatisierungsfunktionen auf Störungstriage, wöchentliche Statusberichte, Dienstübergänge und andere Szenarien erweitert.
04. Fazit: AI-Programmierung tritt in die Phase der vollständigen Automatisierung ein. Achtung vor Sicherheitsrisiken!
Heute hat OpenAI GPT-5.4 für Codex eingeführt, um es mit nativen Computerfunktionen auszustatten. Cursor hat ein Automatisierungssystem für die ständig laufende Programmierung veröffentlicht, wodurch die Anwendungsfälle der AI-Programmierung in das Gebiet der vollständigen Automatisierung des Entwicklungsprozesses erweitert wurden. Dadurch wird der Programmierungsprozess stark automatisiert, die Effizienz kleiner Teams wird stark verbessert, und Entwickler werden in Zukunft möglicherweise eher die Rolle von AI-Agenten-Administratoren spielen.
Aber wie viele Entwickler sagen, je größer die Berechtigungen von AI-Agenten sind, desto unklarer werden die Grenzen von Risiko und Verantwortung. Wenn Agenten autonom Code schreiben, PRs zusammenführen, Tests ausführen und sogar in die Produktion deployen können, wer trägt die Verantwortung für die Schäden, wenn sie die Anforderungen falsch verstehen oder logische Lücken einführen? Dies wird zu einem Problem, mit dem die gesamte Branche konfrontiert sein muss.
Dieser Artikel stammt aus dem WeChat-Account "Zhidongxi" (ID: zhidxcom), Autor: Cheng Qian. Veröffentlicht von 36Kr mit Genehmigung.