Уязвимость, которую исследователи называют CurXecute, присутствует почти во всех версиях редактора кода Cursor, управляемого искусственным интеллектом и может быть использована для удаленного выполнения кода с привилегиями разработчика.
Проблема безопасности теперь идентифицируется как CVE-2025-54135 и может быть использована путем подачи агенту искусственного интеллекта вредоносного запроса для запуска команд управления злоумышленником.
Интегрированная среда разработки (IDE) Cursor опирается на агентов искусственного интеллекта, которые помогают разработчикам быстрее и эффективнее создавать код, позволяя им подключаться к внешним ресурсам и системам с помощью протокола Model Context Protocol (MCP).
По мнению исследователей, успешная эксплуатация уязвимости CurXecute хакерами может привести к вымогательству выкупа и краже данных.
Атака с использованием инъекций
CurXecute похожа на уязвимость EchoLeak в Microsoft 365 CoPilot, которая может быть использована для кражи конфиденциальных данных без какого-либо участия пользователя.
Обнаружив и разобравшись в EchoLeak, исследователи из Aim Security, компании, специализирующейся на кибербезопасности ИИ, поняли, что даже локальный ИИ-агент может быть подвержен влиянию внешнего фактора для совершения вредоносных действий.
В Cursor IDE реализована поддержка открытого стандарта MCP, который расширяет возможности и контекст агента, позволяя ему подключаться к внешним источникам данных и инструментам.
MCP превращает локального агента в «швейцарский нож», позволяя ему подключать произвольные серверы – Slack, GitHub, базы данных – и вызывать их инструменты на естественном языке
- Aim Security
Однако исследователи предупреждают, что это может скомпрометировать агента, поскольку он подвергается воздействию внешних, недоверенных данных, которые могут повлиять на возможности управления.
Хакер может воспользоваться этим, чтобы перехватить сессию агента и получить привилегии для действий от имени пользователя.
Используя внешнюю инъекцию приглашения, злоумышленник может переписать файл ~/.cursor/mcp.json в каталоге проекта, что позволит удаленно выполнять произвольные команды.
Исследователи объясняют, что Cursor не требует подтверждения для выполнения новых записей в файле ~/.cursor/mcp.json и что предлагаемые правки являются живыми и вызывают выполнение команды, даже если пользователь отклоняет их.
В отчете Aim Security утверждает, что добавление в Cursor стандартного MCP-сервера, такого как Slack, может подвергнуть агента опасности доступа к недоверенным данным.
Злоумышленник может опубликовать в публичном канале вредоносное приглашение с полезной нагрузкой в виде инъекции для файла конфигурации mcp.json.
Когда жертва открывает новый чат и поручает агенту просуммировать сообщения, полезная нагрузка, которая может быть оболочкой, сразу же попадает на диск без одобрения пользователя.
Поверхностью атаки является любой сторонний MCP-сервер, обрабатывающий внешний контент: трекеры проблем, почтовые ящики службы поддержки, даже поисковые системы. Один отравленный документ может превратить агента ИИ в локальную оболочку – Aim Security
Исследователи Aim Security утверждают, что атака CurXecute может привести к вымогательству и краже данных, или даже к манипулированию ИИ через галлюцинации, что может разрушить проект, или к атакам slopsquatting.
Исследователи сообщили о CurXecute в частном порядке компании Cursor 7 июля, и уже на следующий день производитель добавил исправление в основную ветку.
29 июля была выпущена версия Cursor 1 с многочисленными улучшениями и исправлением CurXecute. Cursor также опубликовала сообщение об ошибке CVE-2025-54135, получившее оценку средней серьезности 8.6.
Пользователям рекомендуется загрузить и установить последнюю версию Cursor, чтобы избежать известных рисков безопасности.
Комментарии (0)