A digitized globe surrounded by the letters "AI," "Processing," lines of code, and other digital icons against a black background

一款广受欢迎的人工智能驱动开发环境,其信任模型存在缺陷。这一缺陷使得恶意攻击者能够修改项目中已获批准的代码扩展,并实施持久化的远程代码执行(RCE),对现代软件供应链构成了严重威胁。

Check Point Research 的研究人员在 Cursor 中发现了这一被命名为 “MCPoison”、追踪编号为 CVE-2025-54136 的严重漏洞。

Cursor 是一款利用大语言模型驱动的自动化工具,旨在加速软件开发进程。据今日发布的一份报告显示,该漏洞与 Cursor 对其模型上下文协议(MCP)的配置方式相关,而 MCP 是该系统中用于实现开发人员工作流程自动化的关键部分。

Check Point Research 的安德烈・查里科夫、罗曼・扎伊金和奥德・瓦努努在报告中指出,问题的根源在于,一旦某个扩展程序通过 MCP 获批,攻击者便能在无需用户进一步交互的情况下对其进行秘密修改。这就导致了一种风险,即 “在任何基于 Cursor 的开发环境中,都可能实现持久、静默且远程的代码执行”。

他们写道:“一旦 MCP 获得批准,攻击者就能在用户毫无察觉的情况下反复注入恶意命令。”

研究人员强调,若攻击者拥有对共享代码仓库的写入权限,凭借这种对开发环境的可信访问权限,他们可以实施一系列恶意行为。例如,通过在 MCP 配置中植入反向 shell 来维持持续的远程访问,并且每当受害者打开 Cursor 时,就能静默执行任意本地命令。

研究人员还表示,攻击者可利用该漏洞在用户环境中提升权限。这在那些存储有云凭证或能访问源代码的开发人员电脑上,显得尤为危险。此外,由于每当项目启动或代码仓库同步时,恶意的 MCP 都会重新执行,攻击者能够在该环境中无限期潜伏。

01 漏洞披露与缓解措施

Check Point Research 于 7 月 16 日向 Cursor 开发团队披露了该问题,后者于 7 月 29 日发布了平台的 1.3 版本更新。报告称,尽管该版本的更新说明中未提及此漏洞,但 Check Point 通过独立测试证实,“该问题已得到有效解决”。

报告指出:“如今,对 MCP 配置的任何修改 —— 哪怕只是添加一个空格,都会触发强制的批准提示。用户必须明确批准或拒绝修改后的 MCP,其才能生效。”

Check Point 建议,所有在开发环境中使用 Cursor 的组织应立即更新至 1.3 版本,以修复该问题。此版本还修复了 Aim Labs 发现的 Cursor 的 MCP 中的一个提示注入漏洞,该漏洞被命名为 “CurXecute”,追踪编号为 CVE-2025-54135。

Aim Labs 在一篇博客文章中提到,上周披露的这一漏洞之所以存在,是因为 Cursor 以开发人员级别的权限运行,当与获取不可信外部数据的 MCP 服务器配合使用时,就可能被利用。

该博客文章称:“通过 MCP 向代理注入有毒数据,攻击者能够以用户权限获得完全的远程代码执行能力,进而实施诸多恶意行为,包括勒索软件攻击、数据窃取、人工智能操纵及制造幻觉等。”

02 新的风险格局

Check Point 的研究人员表示,除了对使用 Cursor 的组织构成威胁外,这两个漏洞还凸显出人工智能辅助开发流程面临着更广泛的威胁。“在这种流程中,自动化、便利性以及默认的信任都可能被利用,从而使攻击者能够长期访问开发人员的电脑、凭证和源代码。”

Check Point 的首席技术专家兼产品漏洞研究主管瓦努努在一份电子邮件声明中称,总体而言,这些人工智能驱动的开发工具给组织带来了新的现实挑战。他表示,尽管这些工具为开发人员构建软件提供了前所未有的便利,但同时也带来了组织从未遇到过的攻击面。这就要求防御者转变思维模式。

瓦努努在声明中说:“多年来,我们一直专注于防御传统的供应链攻击,但现在很明显,我们正进入一个网络安全威胁的新时代。”

Logo

中国智能体开发者社区,聚焦智能体与大模型开发,提供前沿资讯、实用工具链、开源项目及行业案例。通过技术沙龙、开发者大赛等活动,促进经验交流与协作,助力开发者快速构建创新智能应用。

更多推荐