目的
ChatGPTがビルトインされたAIエディタのCursorが話題になっている。VSCodeのフォークなのでエディタの移行もスムーズであり、年単位で支払い可能で法人ユーザーにも優しい。一方で、会社でCursorを使うためにはセキュリティの確認が重要であるため、CursorのHPに記載してあるPrivacy Polycyを読んでみた。
Privacy Policy
If you have any questions or feedback, please email us at hi@cursor.sh!
フィードバックがあれば、hi@cursor.shにメールで連絡して。
TLDR(要約)
If you enable "Privacy Mode" in Cursor's settings, none of your code will ever be stored by us or any third-party (except for OpenAI which persists the prompts we send to them for 30 days for trust and safety).
If you choose to keep Privacy Mode off, we may save prompts / collect telemetry data to improve the product.
Other notes
Even if you use your API key, your requests will still go through our backend! That's where we do our final prompt building.
If you choose to index your codebase, Cursor will upload your codebase in small chunks to our server to compute embeddings, but all plaintext code ceases to exist after the life of the request. The embeddings and metadata about your codebase (hashes, file names) are stored in our database, but none of your code is.
- Cursorの設定で「プライバシーモード」を有効にすると、あなたのコードは私たちや第三者によって一切保存されません(ただし、信頼と安全のために、私たちがOpenAIに送信するプロンプトは30日間保持されます)。
- プライバシーモードをオフにすると、プロンプトを保存したり、テレメトリーデータを収集して製品を改善することがあります。
- その他の注意点
- APIキーを使用しても、あなたのリクエストは私たちのバックエンドを通過します!これが最終的なプロンプト作成を行う場所です。
- あなたのコードベースをインデックス化することを選択した場合、Cursorはあなたのコードベースを小さなチャンクに分けて私たちのサーバーにアップロードし、埋め込みを計算しますが、すべてのプレーンテキストコードはリクエストの寿命が終わった後に存在しなくなります。あなたのコードベースに関する埋め込みとメタデータ(ハッシュ、ファイル名)は私たちのデータベースに保存されますが、あなたのコードは一切保存されません。
所感
- CursorはデフォルトだとAzureではなくOpenAI社のモデルを使っている。企業によってはセキュリティレベルの観点からChatGPTやそのAPIは禁止でAzure OpenAI Serviceが必要なケースもあると思うので、ここは要注意。CursorでAzureのAPIを利用することもできるが、従量課金性で高コストになりうるので、悩みどころ。
- デフォルトの設定だと、Privacyモードがoffなので、Cursorのサーバー内にプロンプトが30日間保存される。Privacyモードを設定すれば保存されないので、とりあえずはPrivacyモードon推奨。
- APIを使ってもバックエンドを通ることが明記されており、バックエンドでプロンプトが生成されているとのこと。完全に暗号化されているわけではなく見ようと思えばCurso側でプロンプトが見られるリスクがあるのでは?
- コードを読み込ませる場合は、Cursor側のサーバーでチャンクに分けてエンべディングするので、やはりここでも情報流出の可能性があると思う。リクエスト処理が終わったら、コードの平文は削除されると記載があるがファイル名は残るので、「【社外秘】OpenAI社との業務提携に向けた会議議事録.md」というようなファイル名は危険がある。
- まとめると、勝手にコードが流出したり学習に使われることはないが、何か便利な機能を使おうとすると一旦Cursorサーバー内で平文のプロンプトやドキュメントを処理することになる。これらの情報は最終的に削除されるものの、その途中での取り扱いは開発元(Anysphere社)を信頼する必要がある。特にISOなども取得していないだろうし、「ChatGPTによる情報流出が〜」と言っている企業だと難しいと思う。
- 逆に個人での開発では積極的に活用したい。実際、今も文章を修正しながら使っている。
- 指摘事項(修正点が分かるように、修正はしていない)
自分で書くより、GPT-4の方が文章がわかりやすい。。。
その他気になるところ
Service Providers and partners.
Cursor engages a number of service providers or partners to manage or support certain aspects of our business operations on our behalf. For instance, we currently use the following service providers who will handle your personal information:
AWS - cloud data hosting
GitHub - open source repositories and internal project management tool
Sentry - application monitoring and error tracking
Slack - internal communications tool
Cursor - analytics
Humanloop - analytics
Google Workspace - internal collaboration tools
Cursorは、ビジネス運営の一部を代行するために、いくつかのサービスプロバイダーやパートナーと協力しています。例えば、現在以下のサービスプロバイダーがあなたの個人情報を取り扱います:
AWS - クラウドデータホスティング
GitHub - オープンソースリポジトリと内部プロジェクト管理ツール
Sentry - アプリケーションモニタリングとエラートラッキング
Slack - 内部通信ツール
Cursor - 分析
Humanloop - 分析
Google Workspace - 内部協力ツール
所感
- サーバーのデータはAWSに保管されている(弊社ではどこにデータを保管するかは気にする)。
International transfer of personal information
The Apps are hosted in the United States and the personal information we collect will be stored and processed on our servers in the United States.
個人情報の国際転送
アプリは米国でホストされており、当社が収集した個人情報は米国にある当社のサーバーに保存および処理されます。
所感
- 米国でホストされているので、国外にデータを持ち出すのが問題なケースでは気をつけたほうが良い。
まとめ
- 企業、特に機密情報を入力する用途で使うには、セキュリティの観点からまだ早いのでは、と思った。特にファイルやコード全体について回答させる場合は意図せぬ情報送信に注意!
- web版のChatGPTと同じように使うのであれば問題なし。情報流出源が一つ増えた程度なので、個人の趣味の開発には使いたい。
- ChatGPTで禁止されている用途はもちろんダメ。
- (検索がひっかりづらいので、今からでも名称を「Cursr」とかに変えてほしい。、、)