Los especialistas en ciberseguridad han identificado múltiples vulnerabilidades críticas en Cursor AI, uno de los editores de código asistidos por inteligencia artificial más populares del mercado. Estas fallas de seguridad permiten la ejecución remota de código malicioso sin conocimiento del usuario, evidenciando una nueva categoría de amenazas en el ecosistema de herramientas de desarrollo potenciadas por IA.
El protocolo MCP: una nueva superficie de ataque
Las vulnerabilidades descubiertas están directamente relacionadas con el Model Context Protocol (MCP), un estándar abierto lanzado por Anthropic en noviembre de 2024. Este protocolo facilita la conexión entre sistemas de IA y fuentes de datos externas, pero su diseño simplificado ha introducido vectores de ataque previamente inexplorados.
La problemática fundamental radica en que las configuraciones MCP pueden contener comandos ejecutables que se lanzan automáticamente al abrir un proyecto. Esta característica crea un escenario ideal para la infiltración silenciosa de código malicioso en los flujos de trabajo de desarrollo, comprometiendo potencialmente toda la cadena de suministro de software.
CVE-2025-54136: El ataque MCPoison
Los investigadores de Check Point documentaron la vulnerabilidad CVE-2025-54136 con puntuación CVSS de 7.2, denominada MCPoison. Esta falla explota deficiencias en el sistema de validación de configuraciones MCP, aprovechando un mecanismo de aprobación único que resulta especialmente peligroso.
El vector de ataque funciona mediante la siguiente secuencia: un atacante introduce una configuración MCP aparentemente inofensiva en un repositorio, espera a que el usuario la apruebe, y posteriormente reemplaza el contenido con código malicioso. Cursor no solicita nueva validación para cambios posteriores, ejecutando automáticamente las modificaciones maliciosas.
Como demostración práctica, los expertos lograron sustituir comandos aprobados con shells reversos, estableciendo acceso remoto persistente al sistema objetivo. Esta técnica representa una amenaza significativa en entornos de desarrollo colaborativo donde las modificaciones de configuración son frecuentes.
CVE-2025-54135: La vulnerabilidad CurXecute
Aim Labs identificó una falla aún más severa, CVE-2025-54135 con puntuación CVSS de 8.6, conocida como CurXecute. Esta vulnerabilidad permite explotar inyecciones de prompt indirectas para crear y ejecutar archivos MCP sin autorización del usuario.
El mecanismo de explotación utiliza prompts especialmente diseñados para generar archivos dotfile maliciosos (como .cursor/mcp.json). La criticidad se amplifica porque los cambios propuestos se escribían en disco y ejecutaban antes de obtener la aprobación del usuario, eliminando efectivamente cualquier barrera de seguridad.
Elusión del sistema Auto-Run
Un tercer vector de ataque, descubierto por los equipos de BackSlash y HiddenLayer, compromete el modo Auto-Run de Cursor. Aunque este sistema permite configurar listas de comandos que requieren confirmación, los atacantes pueden eludir estas protecciones mediante la inyección de prompts en comentarios de archivos README.
Durante la clonación de repositorios comprometidos, Cursor procesa automáticamente estas instrucciones maliciosas. Los investigadores documentaron al menos cuatro métodos distintos para eludir las listas de denegación y ejecutar comandos no autorizados.
Respuesta y mitigación de vulnerabilidades
El equipo de desarrollo de Cursor implementó correcciones comprehensivas en la versión 1.3, lanzada el 29 de julio de 2025. Las actualizaciones incluyen validación obligatoria para todas las modificaciones de configuraciones MCP, eliminando el vector de ataque MCPoison.
Adicionalmente, se fortaleció la validación en la creación de archivos MCP y se implementaron restricciones más estrictas en el modo Auto-Run. Estas medidas abordan sistemáticamente cada uno de los vectores de ataque identificados por los investigadores.
Las vulnerabilidades descubiertas en Cursor AI ilustran los riesgos emergentes en herramientas de desarrollo asistidas por inteligencia artificial. El protocolo MCP, pese a sus beneficios operacionales, requiere modelos de confianza y validación más robustos. La comunidad de ciberseguridad debe mantener vigilancia constante sobre estos nuevos paradigmas tecnológicos, implementando estrategias de seguridad proactivas que evolucionen al ritmo de la innovación en IA.
