Cursor Composer 2는 Kimi K2.5에 RL을 적용한 모델로 확인

• OpenAI base URL 조작을 통해 요청 경로에 kimi-k2p5-rl이 포함된 것이 발견되며, Composer 2가 Kimi K2.5 + 강화학습(RL) 기반임이 드러남
• 이전 버전에서는 차단되던 요청이 Composer 2에서는 노출되었고, 이후 즉시 차단 패치가 이루어짐
• 커뮤니티에서는 Moonshot 모델 재브랜딩 의혹과 라이선스 표기 의무 위반 가능성이 제기됨
• Moonshot이 Cursor와의 협력 관계를 공식 인정하면서, 무단 사용이 아닌 공식 협업 형태로 확인됨
• 이번 사건은 AI 모델 투명성·라이선스 준수·재브랜딩 관행에 대한 논의를 촉발한 사례로 평가

Cursor Composer 2 모델 논란

• Cursor Composer 2가 내부적으로 Kimi K2.5 + RL 모델을 사용하고 있음이 확인됨
  • 사용자가 OpenAI base URL을 수정해 요청을 덤프하는 서버를 설정한 결과, 요청 경로에 accounts/anysphere/models/kimi-k2p5-rl-0317-s515-fast가 포함되어 있었음
  • 이를 통해 Composer 2가 Kimi K2.5 모델에 강화학습(RL) 을 적용한 형태임이 드러남
  • Composer 1.5에서는 이런 요청이 차단되었으나, Composer 2에서는 차단되지 않아 확인 가능했음
  • 이후 이 취약점은 즉시 차단됨
• 커뮤니티에서는 라이선스 위반 가능성과 윤리적 문제가 제기됨
  • 일부 사용자는 Cursor가 Moonshot의 모델을 재브랜딩해 자사 모델로 포장했다고 비판
  • Kimi K2.5의 Modified MIT 라이선스에 따르면, 모델을 사용할 경우 UI에 명시적 표기가 필요하다는 지적이 있었음
  • 다른 사용자는 해당 모델이 GLM-5 기반일 가능성을 언급하며, 표기 의무가 없는 표준 MIT 라이선스일 수도 있다고 주장
  • 그러나 모델 ID가 명확히 kimi-k2p5로 표시되어 있어, Moonshot과의 별도 협약이 존재할 가능성이 제기됨
• 이후 Moonshot 측이 공식적으로 협력 관계를 인정
  • Moonshot은 Cursor와 협력 관계에 있으며, Kimi 2.5는 우수한 모델이라고 언급
  • 이를 통해 단순한 무단 사용이 아닌 공식 협업 형태임이 확인됨
• 커뮤니티 반응은 윤리적 비판과 실용적 시각으로 나뉨
  • 일부는 Cursor가 오픈소스 정신을 훼손하고, 커뮤니티 기여를 상업적으로 이용했다고 비판
  • 다른 일부는 “대부분의 사용자는 모델 이름보다 코드 작성 속도와 워크플로우를 더 중시한다”며, 모델 출처보다 결과 중심의 경쟁이 중요하다고 언급
  • 모델 변경 시 사용자 경험이 달라지는 점을 지적하며, 투명한 모델 정보 공개 필요성을 강조하는 의견도 있었음
• 기술적 측면에서는 모델 ID 노출 방식과 보안 패치 속도가 주목됨
  • 프록시를 통한 모델 ID 추적은 과거 GPT-4 캐싱 동작 분석에도 사용된 기법으로 알려짐
  • 이번에도 유사한 방식으로 노출이 발생했으며, 몇 시간 만에 차단 패치가 이루어짐
  • 일부 사용자는 Cursor의 추론 제공자가 FireworksAI임을 확인했다고 언급
• 이번 사건은 AI 모델 재브랜딩, 라이선스 준수, 투명성 문제를 다시 부각시킨 사례로 평가
  • 오픈 모델이 상용 서비스에 통합되는 과정에서 표기·공개 의무의 중요성이 커지고 있음
  • 동시에, 모델보다 워크플로우와 사용자 경험이 경쟁의 핵심이 되는 흐름이 강화되고 있음