Специалисты по кибербезопасности обнаружили серьезные уязвимости в популярном ИИ-редакторе кода Cursor AI, которые позволяли злоумышленникам выполнять произвольный код без ведома пользователей. Выявленные проблемы связаны с протоколом Model Context Protocol (MCP) и демонстрируют новый класс угроз в экосистеме инструментов разработки на базе искусственного интеллекта.
Протокол MCP как новый вектор атак
Model Context Protocol, представленный компанией Anthropic в ноябре 2024 года, стал открытым стандартом для подключения ИИ-систем к внешним источникам данных. Однако упрощение интеграций создало дополнительные поверхности для атак, что подтвердили недавние исследования экспертов из Check Point, Aim Labs и других компаний.
Основная проблема заключается в том, что MCP-конфигурации могут содержать исполняемые команды, которые автоматически запускаются при открытии проекта в редакторе. Это создает идеальные условия для скрытого внедрения вредоносного кода в рабочий процесс разработчиков.
CVE-2025-54136: атака MCPoison на цепочки поставок
Исследователи Check Point обнаружили критическую RCE-уязвимость CVE-2025-54136 с оценкой 7,2 балла по шкале CVSS. Проблема получила название MCPoison и эксплуатирует недостатки в системе валидации MCP-конфигураций.
Механизм атаки основан на единоразовом одобрении конфигураций: после первого подтверждения пользователем Cursor перестает запрашивать повторную валидацию при изменениях. Злоумышленник может добавить в репозиторий безобидную MCP-конфигурацию, дождаться ее одобрения, а затем незаметно заменить содержимое на вредоносный код.
В качестве доказательства концепции эксперты продемонстрировали замену одобренной команды на реверс-шелл, обеспечивающий удаленный доступ к системе при каждом запуске проекта. Такой подход особенно опасен в командной разработке, где изменения конфигураций происходят регулярно.
CurXecute: эксплуатация промпт-инъекций
Специалисты Aim Labs выявили еще более критичную уязвимость CVE-2025-54135 с оценкой 8,6 балла, получившую название CurXecute. Данная проблема позволяет использовать косвенные промпт-инъекции для создания и выполнения MCP-файлов без подтверждения пользователя.
Атака реализуется через создание dotfile (например, .cursor/mcp.json) посредством специально сформированного промпта. Критичность ситуации усугублялась тем, что предложенные изменения записывались на диск и исполнялись до получения одобрения пользователя.
Обход системы защиты Auto-Run
Третья уязвимость, обнаруженная командами BackSlash и HiddenLayer, касалась режима Auto-Run в Cursor. Несмотря на возможность настройки списка команд, требующих подтверждения, защиту можно было обойти путем внедрения промпта в комментарии файла README git-репозитория.
При клонировании скомпрометированного репозитория Cursor автоматически считывал и выполнял вредоносные инструкции. Исследователи выявили как минимум четыре способа обхода denylist для выполнения несанкционированных команд.
Меры по устранению уязвимостей
Разработчики Cursor оперативно отреагировали на обнаруженные проблемы, выпустив 29 июля 2025 года обновленную версию 1.3. Ключевые изменения включают:
Обязательное подтверждение изменений MCP-конфигураций при каждой модификации, устраняющее возможность атак типа MCPoison. Дополнительно усилена валидация создания MCP-файлов и ограничены возможности автоматического выполнения команд в режиме Auto-Run.
Выявленные уязвимости в Cursor AI демонстрируют растущие риски безопасности в экосистеме ИИ-инструментов для разработчиков. Протокол MCP, несмотря на свои преимущества, требует тщательной проработки моделей доверия и валидации. Специалисты по безопасности продолжают исследования в данной области, предупреждая о необходимости комплексного подхода к защите современных инструментов разработки с интегрированным искусственным интеллектом.
