✔Баги в Cursor AI могли использоваться для выполнения произвольного кода - «Новости»

В популярном ИИ-редакторе кода Cursor AI исправили сразу несколько уязвимостей. Баги позволяли незаметно изменить конфигурационные MCP-файлы и выполнить произвольный код без запроса и одобрения пользователя. MCP (Model Context Protocol) представляет собой открытый стандарт, представленный компанией Anthropic в ноябре 2024 года. Он позволяет ИИ-системам (включая агентов и большие языковые модели — LLM) подключаться к внешним источникам данных и взаимодействовать друг с другом. Хотя MCP действительно упрощает такие процессы, также он открывает совершенно новые возможности для атак. Совсем недавно мы посвятили этим проблемам большую статью. На этой неделе аналитики из компании Check Point рассказали об RCE-уязвимости CVE-2025-54136 (7,2 балла по шкале CVSS) в ИИ-редакторе Cursor AI. Проблема позволяла незаметно «отравлять» среду разработки, без ведома пользователя. 29 июля 2025 года разработчики Cursor выпустили обновленную версию 1.3 устраняющую этот баг и несколько других проблем, но исследователи предупреждают о рисках атак на цепочки поставок. Эксперты рассказывают, что проблема позволяла атакующему незаметно изменять ранее доверенную конфигурацию MCP в общем репозитории GitHub или отредактировав файл локально на компьютере жертвы (и не запрашивая подтверждение у пользователя). С релизом версии 1.3, Cursor стал требовать одобрения каждый раз, когда меняется конфигурация MCP-сервера. «Мы решили выяснить, учитывает ли модель доверия и валидации при выполнении MCP в Cursor возможные изменения со временем, особенно в тех случаях, когда ранее одобренная конфигурация впоследствии изменяется, — пишут исследователи. – При командной разработке такие изменения происходят часто, и любые пробелы в системе валидации могут привести к инъекциям команд, выполнению кода и устойчивой компрометации». Исследователи продемонстрировали, что возможно изменить уже одобренную конфигурацию MCP-сервера таким образом, чтобы при каждом открытии проекта в Cursor выполнялся вредоносный код. Уязвимость получила название MCPoison, и корень проблемы заключается в единоразовом одобрении конфигураций: после первого подтверждения Cursor больше не запрашивает валидацию для дальнейших изменений. Таким образом, злоумышленник может добавить в общий репозиторий MCP-конфигурацию с безобидной командой, а затем дождаться, пока кто-нибудь ее одобрит, и незаметно подменить содержимое на вредоносное. В итоге оно будет выполняться каждый раз, когда жертва открывает проект. Специалисты продемонстрировали proof-of-concept эксплоит, где после одобрения безвредной команды она заменяется на реверс-шелл, что позволяет атакующему получать удаленный доступ к системе при каждом запуске проекта. В компании подчеркивают: это только первая уязвимость из целой серии проблем, найденных в ИИ-инструментах, ориентированных на разработчиков. «Пока ИИ-инструменты и среды с интегрированными LLM продолжают менять подход к разработке софта, мы продолжим публиковать отчеты о других проблемах, указывающие на игнорируемые угрозы в этой области. Чтобы повысить уровень безопасности всей экосистемы», — заключают эксперты. Также на этой неделе о проблемах в Cursor AI рассказали специалисты компании Aim Labs. Обнаруженная ими уязвимость получила идентификатор CVE-2025-54135 (8,6 балла по шкале CVSS) и название CurXecute. Проблема позволяла удаленным атакующим эксплуатировать уязвимость косвенных промпт-инъекций (indirect prompt injection), чтобы изменить файлы MCP и выполнить произвольный код. Уязвимость возникала из-за того, что Cursor не требовал подтверждения пользователя при создании MCP-файлов. Таким образом, злоумышленник мог с помощью промпта создать dotfile — (например — .cursor/mcp.json) и инициировать удаленное выполнение кода. В бюллетене безопасности разработчики Cursor сообщили: «Если объединить эту уязвимость с другой ошибкой промпт-инъекций, это позволит записывать MCP-файлы на хост. Это может вести к прямому выполнению кода, который внедряется в качестве нового MCP-сервера». По данным аналитиков, корень проблемы заключался в том, что предложенные правки в mcp.json сразу записываются на диск и исполняются — до того, как пользователь успеет их отклонить или принять. Подчеркивается, что любой сторонний сервер MCP, который обрабатывает внешний контент, подвержен таким атакам (включая инструменты поддержки клиентов, системы отслеживания проблем и поисковики). О третьей проблеме в редакторе кода сообщили исследователи BackSlash и HiddenLayer. Этот баг тоже был связан с косвенными инъекциями промптов и касался режима Auto-Run, в котором команды выполняются автоматически, без запроса разрешений. Хотя пользователь может задать список команд, требующих подтверждения, эту защиту можно было обойти, внедрив промпт непосредственно в блок комментариев в Readme git-репозитория. Когда жертва клонировала такой репозиторий, Cursor считывал инструкции и следовал им — это позволяло: извлечь конфиденциальные данные; использовать легитимные инструменты для сбора и передачи файлов; выполнять другие вредоносные действия без уведомления пользователя. «Мы обнаружили как минимум четыре способа, которые позволяли обойти denylist в Cursor и выполнить несанкционированные команды с помощью скомпрометированного агента», — добавили в BackSlash. Эта проблема тоже была устранена в версии 1.3.