Фахівці з кібербезпеки виявили серйозні вразливості в популярному AI-редакторі коду Cursor, які дозволяють зловмисникам виконувати довільний код на комп’ютерах розробників. Виявлені проблеми пов’язані з протоколом Model Context Protocol (MCP) і демонструють новий клас загроз в екосистемі штучного інтелекту для розробки програмного забезпечення.
Model Context Protocol: нові можливості і нові ризики
Model Context Protocol, запроваджений компанією Anthropic у листопаді 2024 року, став відкритим стандартом для підключення AI-систем до зовнішніх джерел даних. Хоча протокол спрощує інтеграцію, він також створює додаткові поверхні для атак, що підтвердили дослідження експертів з Check Point, Aim Labs та інших провідних компаній з кібербезпеки.
Основна проблема полягає в тому, що MCP-конфігурації можуть містити виконувані команди, які автоматично запускаються при відкритті проекту в редакторі. Це створює ідеальні умови для прихованого впровадження шкідливого коду в робочий процес розробників.
CVE-2025-54136: атака MCPoison на ланцюги постачання
Дослідники Check Point виявили критичну RCE-вразливість CVE-2025-54136 з оцінкою 7,2 бала за шкалою CVSS. Проблема отримала назву MCPoison і експлуатує недоліки в системі валідації MCP-конфігурацій.
Механізм атаки базується на одноразовому схваленні конфігурацій: після першого підтвердження користувачем Cursor перестає запитувати повторну валідацію при змінах. Зловмисник може додати в репозиторій нешкідливу MCP-конфігурацію, дочекатися її схвалення, а потім непомітно замінити вміст на шкідливий код.
Як доказ концепції експерти продемонстрували заміну схваленої команди на реверс-шел, який забезпечує віддалений доступ до системи при кожному запуску проекту. Такий підхід особливо небезпечний у командній розробці, де зміни конфігурацій відбуваються регулярно.
CurXecute: експлуатація промпт-інʼєкцій
Спеціалісти Aim Labs виявили ще більш критичну вразливість CVE-2025-54135 з оцінкою 8,6 бала, яка отримала назву CurXecute. Ця проблема дозволяє використовувати непрямі промпт-інʼєкції для створення та виконання MCP-файлів без підтвердження користувача.
Атака реалізується через створення dotfile (наприклад, .cursor/mcp.json) за допомогою спеціально сформованого промпта. Критичність ситуації посилювалася тим, що запропоновані зміни записувалися на диск і виконувалися до отримання схвалення користувача.
Обхід системи захисту Auto-Run
Третя вразливість, виявлена командами BackSlash і HiddenLayer, стосувалася режиму Auto-Run в Cursor. Незважаючи на можливість налаштування списку команд, що потребують підтвердження, захист можна було обійти шляхом впровадження промпта в коментарі файла README git-репозиторія.
При клонуванні скомпрометованого репозиторія Cursor автоматично зчитував і виконував шкідливі інструкції. Дослідники виявили щонайменше чотири способи обходу denylist для виконання несанкціонованих команд.
Заходи з усунення вразливостей
Розробники Cursor оперативно відреагували на виявлені проблеми, випустивши 29 липня 2025 року оновлену версію 1.3. Ключові зміни включають обов’язкове підтвердження змін MCP-конфігурацій при кожній модифікації, що усуває можливість атак типу MCPoison.
Додатково посилено валідацію створення MCP-файлів та обмежено можливості автоматичного виконання команд у режимі Auto-Run. Ці заходи значно підвищують безпеку платформи та захищають розробників від потенційних загроз.
Виявлені вразливості в Cursor AI демонструють зростаючі ризики безпеки в екосистемі AI-інструментів для розробників. Протокол MCP, незважаючи на свої переваги, потребує ретельного опрацювання моделей довіри та валідації. Організаціям рекомендується регулярно оновлювати інструменти розробки, впроваджувати додаткові рівні перевірки конфігурацій і навчати команди принципам безпечної роботи з AI-асистентами.
