こんにちは！

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

お問い合わせ

自己紹介

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

スキル

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

プロセス自動化

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

カスタムシステム

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

ミッション

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

🚀

テクノロジーの民主化

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

💡

ITとビジネスの融合

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

🎯

カスタムソリューション

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

テクノロジーでビジネスを変革

Dicembre 2024

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

💻 Linguaggi & Tecnologie

☕Java

🐍Python

📜JavaScript

🅰️Angular

⚛️React

🔷TypeScript

🗄️SQL

🐘PHP

🎨CSS/SCSS

🔧Node.js

🐳Docker

🌿Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

お問い合わせ

プロジェクトをお考えですか？お気軽にお問い合わせください。

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

05 - カーソルフック: AI ガードレールを使用してワークフローを自動化する

自律型 AI エージェントの操作には構造的な問題があります。すべてを制御することはできません。リアルタイムのアクションですが、彼らの行動を盲目的に信頼することさえできません。書くエージェントコードを作成し、ターミナルでコマンドを実行し、自動シーケンスでファイルを編集することは、非常に簡単です。生産的ですが、制御メカニズムが整備されていない場合は危険なほど予測不可能です。

この問題に対するカーソルの答えは次のように呼ばれます。 フック。 Cursor 1.7 で導入されました 2025 年、フックシステムにより、ライフサイクルの正確な時点でカスタムロジックを挿入できるようになります。エージェントの: シェルコマンドを実行する前、ファイルを変更した後、MCP 呼び出しの前、彼の仕事が終わったとき。彼らは本質的に神です 自動ガードレール できること一度設定すれば、コードベースでエージェントが動作するたびに起動されます。

この記事では、基本構成からパターンまでフックシステムを詳しく説明します。自動フォーマット、セキュリティ検証、テストの自動化、ドキュメントの同期などの高度な機能。最後に AI エージェントが生産的でありながら常に制御下にある堅牢なワークフローを構築できるようになります。

この記事で学べること

Cursor のフックシステムとは何ですか?また、単純なスクリプトとの違いは何ですか?
使用可能なフックのタイプ: beforeShellExecution、beforeMCPExecution、beforeReadFile、afterFileEdit、stop
hooks.json を使用してグローバルおよびプロジェクト全体のフックを設定する方法
終了コードと JSON 応答を使用して危険なアクションをブロックするフックを構築する方法
編集後の自動化: afterFileEdit を介した Prettier/ESLint による自動フォーマット
最終検証とタスク完了時の通知のためにフックを停止します。
実用的なパターン: セキュリティチェック、自動テストランナー、ドキュメントの同期
フックをエージェントモードと統合して完全で安全なワークフローを実現する方法
デバッグフック: 出力チャネル、ロギング、一般的なエラーのトラブルシューティング
冪等でパフォーマンスが高く、保守しやすいフックのベストプラクティス

シリーズ内での位置づけ: カーソル IDE と AI ネイティブ開発

#	アイテム	レベル
1	カーソル IDE: 開発者向け完全ガイド	初心者
2	カーソルルール: プロジェクトの AI の構成	中級
3	エージェントモード: コマンドを使用してコードベースを変更する	中級
4	プランモードとバックグラウンドエージェント	高度な
5	カーソルフック: ワークフローを自動化する (ここまでです)	中級
6	MCP とカーソル: IDE をデータベースと API に接続	高度な
7	Cursor AI を使用したデバッグ: 3 倍高速	中級
8	2026 年のカーソル vs ウィンドサーフィン vs 副操縦士	初心者
9	プロフェッショナルなワークフロー: カーソルを使用した Angular プロジェクト	高度な

カーソルのフックとは何ですか

Cursor のフックと 外部プロセス 応答して自動的に実行されます特定のエージェントのライフサイクルイベントに適用されます。エージェントがシェルコマンドを実行しようとしているとき、カーソルはフックを呼び出し、標準入力経由でアクション情報を JSON で渡します。あなたのフックは、この情報を分析し、アクションを許可するかブロックするかという指示で応答します。ユーザーに確認を求めます。

フックを理解することが不可欠です これらは単純なシェルスクリプトではありません それが入る背景。これらはエージェントサイクルに統合された同期プロセスです。エージェントは停止し、完了するまで待機します。フック応答を返し、その応答に基づいて続行方法を決定します。これは彼らをツールにします検証、監査、自動化に強力です。

Cursor 1.7 以降で使用できるフックは、次のライフサイクルイベントをカバーします。

シェル実行前 - ターミナル内のすべてのコマンドの前に実行されます。 Receives the エージェントが実行しようとしている正確なコマンド。危険なコマンドをブロックしたり、ログに記録したり、変更したりできます。
MCP実行前 - MCP サーバーへのすべての呼び出しの前に実行されます。彼は受け取りますツールの名前と入力パラメータ。データベースまたは API 操作の監査に役立ちます。
beforeReadFile - エージェントがファイルの内容を読み取る前に実行されます。エージェントがアクセスできるファイルを制御したり、機密情報をマスクしたりできます。
ファイル編集後 - ファイルが変更されるたびに実行されます。のパスを受け取ります。ファイルと行われた変更 (old_string/new_string)。自動フォーマットとリンティングに最適です。
停止 - エージェントがタスクを終了したときに実行されます。通知に便利な、自動コミット、ドキュメントの同期、クリーンアップアクション。

Evolution のベータ版機能

カーソルフックは、2025 年 10 月に Cursor 1.7 のベータ機能として導入されました。ドキュメントと API は今後のリリースで変更される可能性があります。フックを実装する前に運用環境では、次の公式ドキュメントを確認してください。 カーソル.com/docs/agent/hooks 更新情報については。

構成: グローバルおよびプロジェクトレベルのhooks.json

カーソルフックはファイル経由で設定されます フック.json。 2つのレベルがありますこれらは補完的に機能します。

グローバルフック (~/.cursor/hooks.json) - すべてに適用されますそのマシン上でカーソルを使用してプロジェクトを開きます。個人のセキュリティポリシーや通知に最適または、常にアクティブにしておきたい監査ツール。
プロジェクトフック (.cursor/hooks.json リポジトリのルート内) - はいこれらは現在のプロジェクトにのみ適用され、リポジトリにコミットされます。共有できるようになりますチーム全体で同じ自動化を行います。

両方のファイルが存在する場合、フックはマージされます。グローバルフックが最初に実行され、次に各イベントのプロジェクトのもの。ファイル形式は単純です。JSON オブジェクトとバージョンとオブジェクト hooks これにより、各イベントがコマンドの配列にマップされます。

以下は完全な例です hooks.json これにより、すべての主要なイベントのフックが設定されます。

// .cursor/hooks.json - Configurazione hooks a livello di progetto
{
  "version": 1,
  "hooks": {
    "beforeShellExecution": [
      {
        "command": "node .cursor/hooks/security-check.js"
      }
    ],
    "beforeMCPExecution": [
      {
        "command": "node .cursor/hooks/mcp-audit.js"
      }
    ],
    "beforeReadFile": [
      {
        "command": "bash .cursor/hooks/file-access-policy.sh"
      }
    ],
    "afterFileEdit": [
      {
        "command": "node .cursor/hooks/auto-format.js"
      },
      {
        "command": "node .cursor/hooks/run-tests.js"
      }
    ],
    "stop": [
      {
        "command": "node .cursor/hooks/final-check.js"
      }
    ]
  }
}

フィールド command 任意の実行可能コマンドを受け入れます: Node.js スクリプト、bash、Python、 npmバイナリ。カーソルはコマンドを別のプロセスとして実行し、イベントデータを渡します 標準入力 JSON 形式でフック応答を読み取ります。 標準出力。エラーと診断ログが上がる 標準エラー.

Cursor が stdin 経由で各フックに送信する JSON の基本構造には、次の共通フィールドが含まれます。

// Struttura JSON inviata via stdin a ogni hook
{
  "conversation_id": "668320d2-2fd8-4888-b33c-2a466fec86e7",
  "generation_id": "490b90b7-a2ce-4c2c-bb76-cb77b125df2f",
  "hook_event_name": "beforeShellExecution",  // nome dell'evento
  "workspace_roots": ["/path/to/project"],     // root del workspace
  // campi specifici per ogni tipo di hook...
}

実行前フック: 危険なアクションをブロック

フック前にこれらは、アクションが発生する前にブロックできるため、最も強力です。最も直接的な使用例は、重要なファイルまたはディレクトリを誤って変更されないように保護することです。エージェント、または破壊的なシェルコマンドをブロックします。

男のために シェル実行前、標準入力経由で受信した JSON には次のフィールドが含まれています command エージェントが実行しようとしている正確なコマンドとフィールド cwd 現在の作業ディレクトリの場合:

// Input stdin per beforeShellExecution
{
  "conversation_id": "668320d2-2fd8-4888-b33c-2a466fec86e7",
  "generation_id": "490b90b7-a2ce-4c2c-bb76-cb77b125df2f",
  "command": "rm -rf ./dist",
  "cwd": "/Users/dev/my-project",
  "hook_event_name": "beforeShellExecution",
  "workspace_roots": ["/Users/dev/my-project"]
}

フックは、アクションを許可するかブロックするかを示す JSON を標準出力経由で応答します。キーフィールド e permission 価値観を持って "allow", "deny" o "ask"。以下は、破壊的なコマンドをブロックする Node.js フックです。

// .cursor/hooks/security-check.js
// Hook: blocca comandi shell pericolosi

const readline = require('readline');

async function readStdin() {
  return new Promise((resolve) => {
    const rl = readline.createInterface({ input: process.stdin });
    let data = '';
    rl.on('line', (line) => { data += line; });
    rl.on('close', () => resolve(data));
  });
}

// Pattern di comandi che devono essere bloccati
const DANGEROUS_PATTERNS = [
  /rm\s+-rf\s+\//,           // rm -rf / (root filesystem)
  /rm\s+-rf\s+~\//,          // rm -rf ~/
  /sudo\s+rm\s+-rf/,         // sudo rm -rf qualsiasi cosa
  /DROP\s+DATABASE/i,        // SQL DROP DATABASE
  /DROP\s+TABLE.*--drop/i,   // SQL DROP con flag pericolose
  /git\s+push.*--force\s+origin\s+main/, // force push su main
];

// File e directory protetti dall'agente
const PROTECTED_PATHS = [
  '.env',
  '.env.production',
  'secrets/',
  'firebase.json',
  '.firebaserc',
];

async function main() {
  const rawInput = await readStdin();
  let input;

  try {
    input = JSON.parse(rawInput);
  } catch (e) {
    // Se non riusciamo a parsare, lasciamo passare (fail-open)
    process.stdout.write(JSON.stringify({ permission: 'allow' }));
    return;
  }

  const command = input.command || '';

  // Controlla comandi pericolosi
  const isDangerous = DANGEROUS_PATTERNS.some((pattern) =>
    pattern.test(command)
  );

  if (isDangerous) {
    process.stderr.write(`[security-check] Comando bloccato: ${command}\n`);
    process.stdout.write(
      JSON.stringify({
        permission: 'deny',
        userMessage: `Comando bloccato dalla security policy: ${command}`,
        agentMessage:
          'Questo comando e stato bloccato dalla policy di sicurezza del progetto. ' +
          'Non eseguire comandi rm -rf su percorsi di sistema o force push su branch protetti.',
      })
    );
    return;
  }

  // Controlla se il comando tocca file protetti
  const touchesProtectedPath = PROTECTED_PATHS.some((path) =>
    command.includes(path)
  );

  if (touchesProtectedPath) {
    process.stdout.write(
      JSON.stringify({
        permission: 'ask',
        userMessage: `Stai per eseguire: ${command} - Procedi?`,
      })
    );
    return;
  }

  // Comando sicuro: consenti
  process.stdout.write(JSON.stringify({ permission: 'allow' }));
}

main().catch((err) => {
  process.stderr.write(`[security-check] Errore: ${err.message}\n`);
  process.stdout.write(JSON.stringify({ permission: 'allow' })); // fail-open
});

Con "permission": "ask", カーソルはユーザーに確認ダイアログを表示する前にで定義されたメッセージを表示して続行します。 userMessage。ユーザーが承認できるまたはその行為を拒否します。と "permission": "deny"、アクションは永久にブロックされますメッセージはユーザーに表示されるとともに、コンテキストとしてエージェントに渡されます。

beforeReadFile で特定のファイルを保護するフック

フック beforeReadFile フィールドを受け取ります file_path 標準入力 JSON 内。これを使用すると、エージェントが資格情報やシークレットを含むファイルを読み取らないようにしたり、機密ファイルの内容を AI モデルに渡す前にマスクします。

ファイル編集後のフック: 自動フォーマットと自動リンティング

フック ファイル編集後 そして日常の練習で最もよく使われます。実行されるエージェントがファイルの書き込みまたは変更を行い、標準入力経由でファイルパスを含む JSON を受信するたび変更され、元の文字列と新しい文字列を含む変更の配列:

// Input stdin per afterFileEdit
{
  "conversation_id": "abc123",
  "generation_id": "def456",
  "file_path": "/Users/dev/my-project/src/app/services/user.service.ts",
  "edits": [
    {
      "old_string": "const data = undefined",
      "new_string": "const data: UserData | null = null"
    }
  ],
  "hook_event_name": "afterFileEdit",
  "workspace_roots": ["/Users/dev/my-project"]
}

このデータを使用すると、編集したばかりのファイルに対してお気に入りのフォーマッタを自動的に実行できます。これは、Prettier for TypeScript/JavaScript と ESLint を修正に適用する完全な Node.js フックです。プロジェクトにすでに存在する構成を考慮して自動で実行します。

// .cursor/hooks/auto-format.js
// Hook: auto-format e linting dopo ogni modifica dell'agente

const readline = require('readline');
const { execSync } = require('child_process');
const path = require('path');
const fs = require('fs');

async function readStdin() {
  return new Promise((resolve) => {
    const rl = readline.createInterface({ input: process.stdin });
    let data = '';
    rl.on('line', (line) => { data += line; });
    rl.on('close', () => resolve(data));
  });
}

// Estensioni supportate dal formatter
const PRETTIER_EXTENSIONS = new Set([
  '.ts', '.tsx', '.js', '.jsx',
  '.json', '.css', '.scss',
  '.html', '.md', '.yaml', '.yml',
]);

const ESLINT_EXTENSIONS = new Set(['.ts', '.tsx', '.js', '.jsx']);

function runFormatter(filePath, workspaceRoot) {
  const ext = path.extname(filePath);

  // Prettier: formatta il file se l'estensione e supportata
  if (PRETTIER_EXTENSIONS.has(ext)) {
    const prettierConfig = path.join(workspaceRoot, '.prettierrc');
    const hasPrettierConfig =
      fs.existsSync(prettierConfig) ||
      fs.existsSync(path.join(workspaceRoot, 'prettier.config.js')) ||
      fs.existsSync(path.join(workspaceRoot, '.prettierrc.json'));

    if (hasPrettierConfig || fs.existsSync(
      path.join(workspaceRoot, 'node_modules', '.bin', 'prettier')
    )) {
      try {
        execSync(
          `npx prettier --write "${filePath}"`,
          {
            cwd: workspaceRoot,
            stdio: ['ignore', 'pipe', 'pipe'],
            timeout: 10000,
          }
        );
        process.stderr.write(`[auto-format] Prettier OK: ${filePath}\n`);
      } catch (e) {
        process.stderr.write(
          `[auto-format] Prettier warning: ${e.message}\n`
        );
      }
    }
  }

  // ESLint --fix: applica fix automatici per TS/JS
  if (ESLINT_EXTENSIONS.has(ext)) {
    const hasEslint = fs.existsSync(
      path.join(workspaceRoot, 'node_modules', '.bin', 'eslint')
    );
    const hasEslintConfig =
      fs.existsSync(path.join(workspaceRoot, '.eslintrc.js')) ||
      fs.existsSync(path.join(workspaceRoot, '.eslintrc.json')) ||
      fs.existsSync(path.join(workspaceRoot, 'eslint.config.js'));

    if (hasEslint && hasEslintConfig) {
      try {
        execSync(
          `npx eslint --fix "${filePath}"`,
          {
            cwd: workspaceRoot,
            stdio: ['ignore', 'pipe', 'pipe'],
            timeout: 15000,
          }
        );
        process.stderr.write(`[auto-format] ESLint --fix OK: ${filePath}\n`);
      } catch (e) {
        // ESLint esce con codice 1 se ci sono errori non fixabili: non e un failure dell'hook
        process.stderr.write(
          `[auto-format] ESLint warning (unfixable errors): ${path.basename(filePath)}\n`
        );
      }
    }
  }
}

async function main() {
  const rawInput = await readStdin();
  let input;

  try {
    input = JSON.parse(rawInput);
  } catch (e) {
    process.stderr.write(`[auto-format] JSON parse error: ${e.message}\n`);
    return; // afterFileEdit non richiede risposta JSON
  }

  const filePath = input.file_path;
  const workspaceRoot = input.workspace_roots?.[0] || process.cwd();

  if (!filePath) {
    process.stderr.write('[auto-format] Nessun file_path ricevuto\n');
    return;
  }

  // Salta file nelle node_modules o .cursor
  if (filePath.includes('node_modules') || filePath.includes('.cursor')) {
    return;
  }

  runFormatter(filePath, workspaceRoot);
}

main();

afterFileEdit は JSON 応答を必要としません

フックとは異なります前に、フック afterFileEdit 効果を考慮して設計されています付随物: フォーマット、lint、インデックスの更新。 JSON 応答を返すべきではありませんアクション (ファイルへの変更) がすでに行われているため、stdout に出力されます。フックはその役割を果たし、終わり。カーソルは終了コードに関係なく継続します。

フックの停止: 最終検証と通知

フック停止エージェントがタスクが完了したとみなしたときに実行されます。そうではない実行された特定のアクションに関する詳細を受け取りますが、アクセスできます。 conversation_id そして愛 workspace_roots。通知やコミットなどのアクションを終了する理想的なタイミング自動で、ドキュメントを更新したり、スイート全体でテストを実行したりできます。

// Input stdin per stop hook
{
  "conversation_id": "668320d2-2fd8-4888-b33c-2a466fec86e7",
  "generation_id": "490b90b7-a2ce-4c2c-bb76-cb77b125df2f",
  "hook_event_name": "stop",
  "workspace_roots": ["/Users/dev/my-project"]
}

ここでは停止フックの 2 つの実際的な例を示します。1 つ目は macOS 上でデスクトップ通知を送信し、2 つ目はエージェントによって生成された作業の git 検証を実行します。

// .cursor/hooks/notify-completion.sh
# Stop hook: notifica desktop al completamento del task

#!/bin/bash

# Leggi il JSON da stdin (anche se non lo usiamo qui)
INPUT=$(cat)

# Notifica su macOS
if [[ "$OSTYPE" == "darwin"* ]]; then
  osascript -e 'display notification "Il task e completato!" with title "Cursor Agent" subtitle "Controlla le modifiche nel repository"'
fi

# Notifica su Linux con notify-send
if command -v notify-send &>/dev/null; then
  notify-send "Cursor Agent" "Task completato! Controlla le modifiche."
fi

# Log su file per audit
echo "$(date '+%Y-%m-%d %H:%M:%S') - Agent task completed" >> ~/.cursor/agent-log.txt

exit 0

// .cursor/hooks/git-status-check.js
// Stop hook: mostra un riepilogo delle modifiche git dell'agente

const readline = require('readline');
const { execSync } = require('child_process');

async function readStdin() {
  return new Promise((resolve) => {
    const rl = readline.createInterface({ input: process.stdin });
    let data = '';
    rl.on('line', (line) => { data += line; });
    rl.on('close', () => resolve(data));
  });
}

async function main() {
  const rawInput = await readStdin();
  const input = JSON.parse(rawInput);
  const workspaceRoot = input.workspace_roots?.[0] || process.cwd();

  try {
    // Mostra quanti file sono stati modificati dall'agente
    const status = execSync('git status --short', {
      cwd: workspaceRoot,
      encoding: 'utf8',
    });

    const modifiedFiles = status
      .split('\n')
      .filter((line) => line.trim().length > 0);

    if (modifiedFiles.length > 0) {
      process.stderr.write(
        `[git-check] Agent ha modificato ${modifiedFiles.length} file:\n`
      );
      modifiedFiles.forEach((f) => process.stderr.write(`  ${f}\n`));
    } else {
      process.stderr.write('[git-check] Nessuna modifica in staging\n');
    }
  } catch (e) {
    process.stderr.write(`[git-check] Git non disponibile: ${e.message}\n`);
  }
}

main();

開発チーム向けの実践的な使用例

フックは、チームで作業する場合や要件のあるプロジェクトに取り組む場合に特に価値があります。品質に厳しい。 2025 年に Cursor コミュニティから出現する最も効果的なパターンを見てみましょう。

パターン 1: MCP 運用前のセキュリティ監査

データベースまたは外部 API で MCP を使用する場合、フック beforeMCPExecution ログインできるようになります各操作が実行される前に。入力 JSON には、MCP ツール名と i が含まれます。エージェントに渡される正確なパラメータ:

// .cursor/hooks/mcp-audit.js
// Audit log per ogni chiamata MCP dell'agente

const readline = require('readline');
const fs = require('fs');
const path = require('path');

async function readStdin() {
  return new Promise((resolve) => {
    const rl = readline.createInterface({ input: process.stdin });
    let data = '';
    rl.on('line', (line) => { data += line; });
    rl.on('close', () => resolve(data));
  });
}

// Operazioni MCP che devono essere bloccate in produzione
const BLOCKED_MCP_TOOLS = [
  'delete_database',
  'drop_table',
  'truncate_table',
  'execute_raw_sql',  // troppo generico, meglio bloccare e richiedere conferma
];

async function main() {
  const rawInput = await readStdin();
  const input = JSON.parse(rawInput);

  const toolName = input.tool_name || 'unknown';
  const toolInput = input.tool_input || '{}';
  const workspaceRoot = input.workspace_roots?.[0] || '.';

  // Log dell'operazione MCP
  const auditEntry = {
    timestamp: new Date().toISOString(),
    tool: toolName,
    input: toolInput,
    conversation_id: input.conversation_id,
  };

  const auditFile = path.join(workspaceRoot, '.cursor', 'mcp-audit.log');
  fs.appendFileSync(
    auditFile,
    JSON.stringify(auditEntry) + '\n'
  );

  // Blocca tool distruttivi
  if (BLOCKED_MCP_TOOLS.includes(toolName)) {
    process.stdout.write(
      JSON.stringify({
        permission: 'deny',
        userMessage: `Operazione MCP bloccata: ${toolName}`,
        agentMessage: `Il tool MCP '${toolName}' e bloccato dalla policy di progetto. ` +
          `Usa operazioni più specifiche o chiedi conferma manuale all'utente.`,
      })
    );
    return;
  }

  // Tutto il resto e consentito
  process.stdout.write(JSON.stringify({ permission: 'allow' }));
}

main();

パターン 2: テスト変更後の自動テストランナー

もう 1 つの非常に便利なパターンは、エージェントがファイルを変更するときにテストを自動的に実行することです。仕様とかテストとか。これにより、変更によって既存のスイートが破壊されないことが保証されます。

// .cursor/hooks/run-tests.js
// Esegue i test quando l'agente modifica file .spec.ts o .test.ts

const readline = require('readline');
const { execSync } = require('child_process');
const path = require('path');

async function readStdin() {
  return new Promise((resolve) => {
    const rl = readline.createInterface({ input: process.stdin });
    let data = '';
    rl.on('line', (line) => { data += line; });
    rl.on('close', () => resolve(data));
  });
}

async function main() {
  const rawInput = await readStdin();
  const input = JSON.parse(rawInput);
  const filePath = input.file_path || '';
  const workspaceRoot = input.workspace_roots?.[0] || process.cwd();

  // Esegui test solo per file spec/test
  const isTestFile = filePath.includes('.spec.') || filePath.includes('.test.');
  const isServiceOrComponent =
    filePath.endsWith('.service.ts') || filePath.endsWith('.component.ts');

  if (!isTestFile && !isServiceOrComponent) {
    return; // Nessun test da eseguire per questo file
  }

  process.stderr.write(`[run-tests] Esecuzione test per: ${path.basename(filePath)}\n`);

  try {
    // Per Angular: esegui solo i test del file modificato (più veloce)
    const relativePath = path.relative(workspaceRoot, filePath)
      .replace(/\\/g, '/')
      .replace(/\.ts$/, '');

    execSync(
      `npx ng test --include="**/${path.basename(relativePath)}.spec.ts" --watch=false --browsers=ChromeHeadless`,
      {
        cwd: workspaceRoot,
        stdio: ['ignore', 'pipe', 'pipe'],
        timeout: 60000,
      }
    );
    process.stderr.write('[run-tests] Test passati\n');
  } catch (e) {
    // I test falliti vengono loggati ma non bloccano l'hook
    process.stderr.write(
      `[run-tests] ATTENZIONE: alcuni test falliti per ${path.basename(filePath)}\n`
    );
    process.stderr.write(e.stdout?.toString() || e.message);
  }
}

main();

パターン 3: コードベースと同期したドキュメント

技術文書に非常に役立つパターン: エージェントが TypeScript インターフェイスを変更するときまたはルーティングファイルの場合、停止フックはドキュメントが最新であるかどうかを確認したり、レポートを作成したりできます。改訂が必要なもの:

// .cursor/hooks/doc-sync-check.js
// Verifica se la documentazione e allineata dopo modifiche alle interfacce

const readline = require('readline');
const { execSync } = require('child_process');
const path = require('path');
const fs = require('fs');

async function readStdin() {
  return new Promise((resolve) => {
    const rl = readline.createInterface({ input: process.stdin });
    let data = '';
    rl.on('line', (line) => { data += line; });
    rl.on('close', () => resolve(data));
  });
}

async function main() {
  const rawInput = await readStdin();
  const input = JSON.parse(rawInput);
  const workspaceRoot = input.workspace_roots?.[0] || process.cwd();

  try {
    // Cerca file di interfacce modificati nell'ultimo commit
    const changedFiles = execSync(
      'git diff --name-only HEAD~1 HEAD 2>/dev/null || git diff --name-only --cached',
      { cwd: workspaceRoot, encoding: 'utf8' }
    ).split('\n').filter(Boolean);

    const interfaceFiles = changedFiles.filter(
      (f) => f.includes('.model.ts') || f.includes('.interface.ts') || f.includes('types.ts')
    );

    if (interfaceFiles.length > 0) {
      const docsDir = path.join(workspaceRoot, 'docs');
      const hasDocsDir = fs.existsSync(docsDir);

      if (hasDocsDir) {
        process.stderr.write(
          `[doc-sync] ATTENZIONE: ${interfaceFiles.length} file di interfacce modificati.\n` +
          `Considera di aggiornare la documentazione in /docs:\n` +
          interfaceFiles.map((f) => `  - ${f}`).join('\n') + '\n'
        );
      }
    }
  } catch (e) {
    process.stderr.write(`[doc-sync] Errore: ${e.message}\n`);
  }
}

main();

フックとエージェントモード: 完全な制御システム

フックとエージェントモードの統合により、エージェントの安全性を高めるフィードバックループが作成され、時間が経っても信頼性が高くなります。エージェントが複雑なタスクを自律的に処理する場合、フックが機能します実行サイクルのあらゆる段階で機能するセーフティネットのようなものです。

次の現実世界のシナリオを考えてみましょう。エージェントモードを使用して Angular モジュールをリファクタリングしています。エージェントファイルの読み取り、コンポーネントの変更、ルーティングの更新、実行など、数十のアクションを順番に実行します。 npmコマンド。フックが正しく設定されていると、すべての重要なステップがインターセプトされます。

シェル実行前 - あらゆるコマンドをブロックします npm install 承認されていませんまたは保護されたブランチにプッシュします
beforeReadFile - エージェントによるファイルの読み取りを防止します。 .env またはシークレットを含む設定ファイル
ファイル編集後 - 編集された各ファイルは自動的にフォーマットされます。次のステップに進む前に、よりきれいになり、ESLint でチェックします
停止 - エージェントが完了すると、通知と概要が届きます。 git の変更をレビューする

メッセージ agentMessage フック内の応答は次のように AI モデルに渡されます。追加のコンテキスト。これにより、エージェントは次のことが可能になります。 自分の行動を適応させる 定義されたポリシーに基づいて、フックが説明メッセージとともに特定のアクションをブロックする場合、エージェントは人間の介入なしに別のアプローチを選択できます。

完全なフック ワークフローのアーキテクチャ


段階
フック
アクション

シェルコマンドの前シェル実行前破壊的なコマンドをブロックし、git 操作には確認が必要です
MCP コールの前にMCP実行前監査ログ、危険なDB操作をブロック
ファイルを読み取る前にbeforeReadFile.env ファイル保護、シークレットマスキング
変更するたびにファイル編集後Prettier、ESLint --fix、インデックス更新
タスクの終了停止デスクトップ通知、git ステータス、ドキュメントの確認

デバッグフック: 出力チャンネルとトラブルシューティング

フックを使用するときに最初に気づくことの 1 つは、サイレントエラーが問題であるということです。より一般的です。起動しないフック、不正な形式の JSON、未処理のタイムアウト - すべてのシナリオエージェントの動作が予測不能になる可能性があります。カーソルは専用ツールを提供しますこれらの問題を診断します。

にアクセスするには、 フック出力チャンネル:

VS コード/カーソル出力パネルを開きます ([表示] > [出力] または Ctrl+Shift+U)
パネルバーのドロップダウンメニューから「フック」を選択します。
ここには、実行されたすべてのフックのログ (どのスクリプトが呼び出されたか、終了コードなど) が表示されます。スクリプトが標準エラー出力に書き込んだもの

最も一般的な問題とその解決方法:

# Problema 1: Hook non trovato
# Errore: "Cannot find command: node .cursor/hooks/auto-format.js"
# Causa: il path e relativo alla workspace root, non alla posizione di hooks.json
# Soluzione: verifica che il path nel command sia relativo alla root del progetto

# Problema 2: JSON malformato nella risposta
# Errore: "Malformed JSON response from hook, silently allowing"
# Causa: output non-JSON su stdout (print di debug, output di npm, ecc.)
# Soluzione: usa SEMPRE process.stderr per i log, process.stdout SOLO per la risposta JSON

# Problema 3: Hook troppo lento (timeout)
# Causa: operazione bloccante (es. test completo della suite) senza timeout
# Soluzione: aggiungi timeout alle chiamate execSync

try {
  execSync(command, {
    cwd: workspaceRoot,
    timeout: 10000, // 10 secondi max
    stdio: ['ignore', 'pipe', 'pipe'],
  });
} catch (e) {
  if (e.signal === 'SIGTERM') {
    process.stderr.write('[hook] Timeout raggiunto, operazione saltata\n');
  }
}

# Problema 4: Hook che fallisce per mancanza di node_modules
# Causa: il progetto non ha installato le dipendenze
# Soluzione: controlla sempre l'esistenza dei binari prima di usarli
const hasPrettier = fs.existsSync(
  path.join(workspaceRoot, 'node_modules', '.bin', 'prettier')
);
if (!hasPrettier) return; // Salta silenziosamente se non disponibile

初期デバッグと各イベントを記録するロギングフックの追加に役立つパターンファイルに保存されるため、エージェントがどのような順序で何をしたかを完全に追跡できます。

// .cursor/hooks/debug-logger.js
// Hook universale per debug: logga tutti gli eventi su file

const readline = require('readline');
const fs = require('fs');
const path = require('path');

async function readStdin() {
  return new Promise((resolve) => {
    const rl = readline.createInterface({ input: process.stdin });
    let data = '';
    rl.on('line', (line) => { data += line; });
    rl.on('close', () => resolve(data));
  });
}

async function main() {
  const rawInput = await readStdin();

  try {
    const input = JSON.parse(rawInput);
    const logEntry = {
      time: new Date().toISOString(),
      event: input.hook_event_name,
      command: input.command,          // per beforeShellExecution
      file_path: input.file_path,      // per beforeReadFile/afterFileEdit
      tool_name: input.tool_name,      // per beforeMCPExecution
      conversation_id: input.conversation_id,
    };

    const logFile = path.join(
      input.workspace_roots?.[0] || '.',
      '.cursor',
      'hooks-debug.log'
    );
    fs.appendFileSync(logFile, JSON.stringify(logEntry) + '\n');
  } catch (e) {
    // Silenzioso in caso di errore di parsing
  }
}

main();

堅牢で保守可能なフックのベストプラクティス

構成、例、デバッグを確認した後、構築の指針となる原則を見てみましょう。プロ品質のフック。

原則 1: フェールオープンまたはフェールセーフ、決してフェールサイレントではない

エラーが発生した場合にどのように動作するかを意識的に決定する必要があります。セキュリティフック用 (コマンドロック、ファイル保護)、正しい動作、および多くの場合 フェイルセーフ: エラーが発生した場合は、安全のためにアクションをブロックします。自動化フック (フォーマット、lint) の場合、あなたが好む フェールオープン: フォーマッタが使用できない場合は、アクションを通過させます。エージェントの作業を妨げることなく。決してフェイルサイレントを選択しないでください。常にエラーを標準エラー出力に記録します。

原則 2: 冪等性

フックは同じファイル上で複数回呼び出すことができます。 afterFileEdit エージェントモードでは、連続する手順で同じファイルを変更します。フックは冪等である必要があります。同じファイルに対して Prettier を 2 回実行すると、1 回実行した場合と同じ結果が得られます。データを追加したり、重複を作成したりする操作は避けてください。

原則 3: パフォーマンスとタイムアウト

フックはエージェントループ内で同期します。フックが遅いと、ワークフロー全体が遅くなります。一部実践的なガイドライン:

のために beforeShellExecution e beforeReadFile：2～3秒以内に返信
のために afterFileEdit: フォーマットとリンティングは 10 ～ 15 秒以内に完了します。
のために stop: 余裕はありますが (30 ～ 60 秒)、通知とログは高速でなければなりません
通話には常にタイムアウトを設定する execSync 無期限のブロックを避けるために

原則 4: 責任の分離

すべてを行う 1 つのフックよりも、小さくて焦点を絞った多数のフックを使用することをおすすめします。ファイル内のすべてのフック hooks.json 独立しています: それぞれを追加、削除、デバッグすることができます。他人に触れること。フォーマット用のフックが 1 つ、リンティング用のフックが 1 つ、テスト用のフックが 1 つ: 各スクリプトには明確な責任。

原則 5: フック自体の安全性

フックは任意のコードを実行します。フックは、次の場合に攻撃ベクトルとなる可能性があります。 hooks.json プロジェクトの内容が侵害されます。ハードコードされたシークレットを決して含めないでください。フックスクリプト。リポジトリの外部にある環境変数または構成ファイルを使用します。パスが失われるのを防ぐために、標準入力経由で受信したファイルをシェルコマンドで使用する前にそのパスを確認してください。横断。

// Esempio: validazione del path per prevenire path traversal
function isPathSafe(filePath, workspaceRoot) {
  const resolvedPath = require('path').resolve(filePath);
  const resolvedRoot = require('path').resolve(workspaceRoot);
  // Verifica che il file sia dentro la workspace root
  return resolvedPath.startsWith(resolvedRoot + require('path').sep);
}

// Usa sempre questa validazione prima di operazioni su file
if (!isPathSafe(input.file_path, workspaceRoot)) {
  process.stderr.write('[hook] Path non sicuro, operazione saltata\n');
  return;
}

フックとカーソルルール: いつどちらを使用するか

Le カーソルのルール 彼らはエージェントに次のように指示します として コードを書く (スタイル、慣例、従うべきパターン）。の フック 彼らはチェックします cosa それは起こりますエージェントがアクション (自動フォーマット、セキュリティ検証、通知) を実行するとき。これらは補完的です。ルールを使用してコード生成をガイドし、フックを使用して保証します。アクションの品質と安全性。

結論

カーソルのフックシステムは、AI エージェントに対する制御の飛躍的な進歩を表します。もはや、エージェントが正しいことをすることを期待する必要はありません。正確なポリシーを定義できます。信頼性の高い自動化とセキュリティガードレールが、いつでも自動的に機能します。チームの各開発者向けのセッション。

2025 年にコミュニティから出現する最も効果的なパターンは、次の組み合わせです。

シェル実行前 厳格なセキュリティポリシーと git ブランチ保護のため
ファイル編集後 自動コード品質 (フォーマット + リンティング) を行わずに個々の開発者の専門分野に依存します
停止フィードバック、通知、タスク後の検証用
プロジェクトフック (.cursor/hooks.json) 共有するためにリポジトリにコミットチーム全体で同じポリシーを持っている

フックと MCP (モデルコンテキストプロトコル): 場合フックを使用するとエージェントのアクションを制御でき、MCP を使用すると接続が可能になります。エージェントからデータベース、REST API、サードパーティツールなどの外部データソースに接続します。記事の中で次に、Cursor を使用して MCP サーバーを構成し、統合するワークフローを作成する方法を見ていきます。 PostgreSQL データベース、リモートファイルシステム、外部 API に直接接続できます。

シリーズの次のステップ

前の記事: 計画モードとバックグラウンドエージェント - 計画の立て方複雑なタスクを並行して実行する
次の記事: MCP とカーソル: IDE をデータベースおよび API に接続 - 統合データベースと外部サービスをエージェント内で直接実行
関連している： MCP の概要 - に特化したシリーズモデルコンテキストプロトコル
関連している： エージェントモード - 複雑なタスクを委任する方法フックを設定する前にエージェントに送信する

段階	フック	アクション
シェルコマンドの前	シェル実行前	破壊的なコマンドをブロックし、git 操作には確認が必要です
MCP コールの前に	MCP実行前	監査ログ、危険なDB操作をブロック
ファイルを読み取る前に	beforeReadFile	.env ファイル保護、シークレットマスキング
変更するたびに	ファイル編集後	Prettier、ESLint --fix、インデックス更新
タスクの終了	停止	デスクトップ通知、git ステータス、ドキュメントの確認