Cybersecurity-Forscher haben gravierende Sicherheitslücken im beliebten KI-gestützten Code-Editor Cursor AI entdeckt, die Angreifern die unbemerkte Ausführung von Schadcode ermöglichen. Die identifizierten Schwachstellen betreffen das Model Context Protocol (MCP) und verdeutlichen eine neue Kategorie von Bedrohungen in der Landschaft KI-basierter Entwicklungstools.
Model Context Protocol als neue Angriffsfläche
Das von Anthropic im November 2024 eingeführte Model Context Protocol etablierte sich als offener Standard für die Verbindung von KI-Systemen mit externen Datenquellen. Während das Protokoll Integrationen vereinfacht, schaffen diese Vereinfachungen gleichzeitig neue Angriffsvektoren, wie aktuelle Untersuchungen von Check Point, Aim Labs und weiteren Sicherheitsunternehmen belegen.
Die zentrale Problematik liegt darin, dass MCP-Konfigurationsdateien ausführbare Befehle enthalten können, die beim Öffnen eines Projekts automatisch gestartet werden. Diese Funktionalität bietet Cyberkriminellen ideale Voraussetzungen für die verdeckte Einschleusung von Malware in Entwicklungsworkflows.
CVE-2025-54136: MCPoison-Angriff auf Supply Chain
Check Point-Forscher identifizierten eine kritische Remote Code Execution-Schwachstelle CVE-2025-54136 mit einem CVSS-Score von 7,2. Die als MCPoison bezeichnete Attacke nutzt Schwächen im MCP-Konfigurationsvalidierungssystem aus.
Der Angriffsmechanismus basiert auf einer einmaligen Benutzerbestätigung: Nach der ersten Autorisierung durch den Nutzer verzichtet Cursor bei nachfolgenden Änderungen auf erneute Validierungsanfragen. Angreifer können zunächst harmlose MCP-Konfigurationen in Repositories einbinden, deren Genehmigung abwarten und anschließend den Inhalt unbemerkt durch Schadcode ersetzen.
Als Proof-of-Concept demonstrierten die Experten die Manipulation einer autorisierten Befehlszeile zu einer Reverse-Shell, die bei jedem Projektstart Remote-Zugriff auf das System gewährt. Diese Methodik ist besonders gefährlich in kollaborativen Entwicklungsumgebungen mit häufigen Konfigurationsänderungen.
CurXecute: Ausnutzung von Prompt-Injections
Aim Labs-Spezialisten entdeckten eine noch kritischere Schwachstelle CVE-2025-54135 mit einem CVSS-Score von 8,6, bekannt als CurXecute. Diese Vulnerabilität ermöglicht die Nutzung indirekter Prompt-Injections zur Erstellung und Ausführung von MCP-Dateien ohne Benutzerbestätigung.
Die Attacke erfolgt durch das Erstellen von Dotfiles (beispielsweise .cursor/mcp.json) mittels gezielt formulierter Prompts. Die Gefahr verschärfte sich dadurch, dass vorgeschlagene Änderungen auf die Festplatte geschrieben und ausgeführt wurden, bevor eine Benutzerfreigabe erfolgte.
Umgehung der Auto-Run-Sicherheitsmechanismen
Eine dritte Schwachstelle, aufgedeckt von BackSlash- und HiddenLayer-Teams, betraf den Auto-Run-Modus in Cursor. Obwohl Administratoren Listen bestätigungspflichtiger Befehle konfigurieren können, ließen sich diese Schutzmaßnahmen durch Prompt-Injection in README-Datei-Kommentare von Git-Repositories umgehen.
Beim Klonen kompromittierter Repositories las und führte Cursor automatisch bösartige Anweisungen aus. Die Forscher identifizierten mindestens vier verschiedene Methoden zur Umgehung der Denylist für die Ausführung nicht autorisierter Befehle.
Implementierte Sicherheitsmaßnahmen
Die Cursor-Entwickler reagierten umgehend auf die gemeldeten Schwachstellen und veröffentlichten am 29. Juli 2025 die aktualisierte Version 1.3. Die wesentlichen Verbesserungen umfassen:
Verpflichtende Bestätigung aller MCP-Konfigurationsänderungen bei jeder Modifikation, wodurch MCPoison-Angriffe verhindert werden. Zusätzlich wurde die Validierung der MCP-Dateierstellung verstärkt und die automatische Befehlsausführung im Auto-Run-Modus eingeschränkt.
Die entdeckten Vulnerabiläten in Cursor AI veranschaulichen die wachsenden Sicherheitsrisiken im Ökosystem KI-gestützter Entwicklungstools. Das MCP-Protokoll erfordert trotz seiner Vorteile eine sorgfältige Überarbeitung der Vertrauensmodelle und Validierungsmechanismen. Sicherheitsexperten setzen ihre Forschungen in diesem Bereich fort und betonen die Notwendigkeit ganzheitlicher Schutzansätze für moderne Entwicklungstools mit integrierter künstlicher Intelligenz.
