Cursor AI 代码编辑器漏洞可通过恶意 MCP 文件交换在批准后实现 RCE

该漏洞的编号为 CVE-2025-54136（CVSS 评分：7.2）

Check Point Research 将该漏洞命名为MCPoison，因为它利用了软件处理模型上下文协议 (MCP) 服务器配置修改方式中的一个怪癖。
Cursor在上周发布的公告中表示： “Cursor AI 中存在一个漏洞，攻击者可以通过修改共享 GitHub 存储库中已受信任的 MCP 配置文件或在目标机器上本地编辑该文件来实现远程和持久代码执行。”
一旦合作者接受了无害的 MCP，攻击者就可以悄悄地将其替换为恶意命令（例如 calc.exe），而不会触发任何警告或重新提示。
MCP 是由 Anthropic 开发的一项开放标准，允许大型语言模型 (LLM) 以标准化方式与外部工具、数据和服务交互。该 AI 公司于 2024 年 11 月推出了这项标准。
根据 Check Point 的 CVE-2025-54136 漏洞，攻击者可以利用该漏洞在 Cursor 中用户批准 MCP 配置后更改其行为。具体来说，漏洞的进展如下：

将看似无害的 MCP 配置（“.cursor/rules/mcp.json”）添加到共享存储库
等待受害者拉取代码并在 Cursor 中批准一次
使用恶意负载替换 MCP 配置，例如启动脚本或运行后门
每次受害者打开 Cursor 时实现持久代码执行
这里的根本问题是，一旦配置获得批准，即使配置已被更改，Cursor 也会无限期地信任该配置，并将其用于未来的运行。成功利用该漏洞不仅会使组织面临供应链风险，还会在不知情的情况下为数据和知识产权盗窃打开方便之门。

继 2025 年 7 月 16 日负责任地披露之后，Cursor 在 2025 年 7 月下旬发布的 1.3 版本中解决了该问题，每次修改 MCP 配置文件中的条目时都需要用户批准。

网络安全
Check Point表示：“该漏洞暴露了人工智能辅助开发环境背后的信任模型的一个严重弱点，这增加了将 LLM 和自动化集成到工作流程中的团队的风险。”
就在几天前，Aim Labs、Backslash Security 和 HiddenLayer曝光了该 AI 工具的多个漏洞，这些漏洞可能被滥用来获取远程代码执行并绕过基于拒绝列表的保护机制。这些漏洞已在 1.3 版本中得到修复。
这一发现也与人工智能在商业工作流程中的日益普及相吻合，包括使用 LLM 进行代码生成，从而将攻击面扩大到各种新兴风险，如人工智能供应链攻击、不安全代码、模型中毒、即时注入、幻觉、不适当的反应和数据泄露。
一项针对 100 多名法学硕士 (LLM) 编写 Java、Python、C# 和 JavaScript 代码能力的测试发现，45% 的生成代码示例未通过安全测试，并引入了 OWASP Top 10 安全漏洞。其中，Java 的安全失败率最高，为 72%，其次是 C#（45%）、JavaScript（43%）和 Python（38%）。
一项名为LegalPwn的攻击表明，可以利用法律免责声明、服务条款或隐私政策作为新的提示注入向量，突出显示恶意指令如何嵌入合法但经常被忽视的文本组件中，从而触发 LLM 中的意外行为，例如将恶意代码错误分类为安全代码并提供可在开发人员系统上执行反向 shell 的不安全代码建议。
一种名为“提示符人”的攻击，利用未经特殊权限的恶意浏览器扩展程序在后台打开新的浏览器标签页，启动人工智能聊天机器人，并向其注入恶意提示，从而秘密提取数据并破坏模型完整性。这种攻击利用了这样一个事实：任何拥有文档对象模型 (DOM) 脚本访问权限的浏览器插件都可以直接读取或写入人工智能提示符。
一种名为“谬误失败”的越狱技术，可以操纵 LLM 接受逻辑上无效的前提，并使其产生原本受限制的输出，从而欺骗模型违反其自身的规则。
一种称为MAS 劫持的攻击，通过利用 AI 系统的代理性质来操纵多智能体系统 (MAS) 的控制流，从而跨域、媒介和拓扑执行任意恶意代码。
一种名为“毒害 GPT 生成统一格式 (GGUF) 模板”的技术，通过在推理阶段执行的聊天模板文件中嵌入恶意指令来破坏 AI 模型推理流程，从而破坏输出。通过将攻击定位在输入验证和模型输出之间，这种方法既隐蔽又能绕过 AI 防护栏。通过 Hugging Face 等服务分发 GGUF 文件，该攻击利用供应链信任模型触发攻击。
攻击者可以针对机器学习 (ML) 训练环境（如 MLFlow、Amazon SageMaker 和 Azure ML）来破坏模型的机密性、完整性和可用性，最终导致横向移动、权限提升以及训练数据和模型被盗和中毒。
Anthropic 的一项研究发现，法学硕士 (LLM) 可以在提炼过程中学习隐藏的特征，这种现象称为潜意识学习，它导致模型通过看似与这些特征完全无关的生成数据来传递行为特征，从而可能导致错位和有害行为。
身份安全风险评估
Pillar Security 的 Dor Sarig 表示：“随着大型语言模型深入嵌入到代理工作流、企业副驾驶和开发者工具中，这些越狱带来的风险显著上升。现代越狱可以通过上下文链传播，感染单个 AI 组件，并导致互连系统发生级联逻辑故障。”

这些攻击凸显了人工智能安全需要一种新的范式，因为它们可以绕过传统的安全措施，而无需依赖架构缺陷或 CVE。漏洞就在于该模型所要模拟的语言和推理。