AI驱动的Cursor IDE易受Prompt-injection攻击

研究人员称之为CurXecute的漏洞存在于几乎所有版本的人工智能代码编辑器Cursor中，可以利用开发人员权限执行远程代码。安全问题现已确定为CVE-2025-54135，并可通过向AI代理提供恶意提示来触发攻击者控制命令。

Cursor集成开发环境（IDE）依靠AI代理来帮助开发人员更快、更有效地编写代码，允许他们使用模型上下文协议（MCP）与外部资源和系统连接。

根据研究人员的说法，黑客成功利用curexecute漏洞可能会打开勒索软件和数据盗窃事件的大门。

Prompt-injection攻击

CurXecute类似于Microsoft 365 CoPilot中的echolak漏洞，可以在没有任何用户交互的情况下窃取敏感数据。

人工智能网络安全公司Aim Security的研究人员在发现并了解了EchoLeak之后，了解到即使是本地人工智能代理也可能受到外部因素的影响，采取恶意行为。

Cursor IDE支持MCP开放标准框架，该框架通过允许代理连接到外部数据源和工具来扩展代理的功能和上下文。

Aim Security表示，MCP把一个本地代理变成了一个利器，允许它启动任意服务器——Slack、GitHub、数据库，并从自然语言调用他们的工具。研究人员提示，这可能会使代理暴露在外部的不可信数据中，从而影响其控制流。黑客可以利用这一点劫持代理的会话和权限，以用户的身份行事。

通过使用外部托管的提示注入，攻击者可以重写项目目录中的 ~/.cursor/mcp.json 文件，以启用任意命令的远程执行。

研究人员解释说，Cursor不需要确认即可执行新的条目到~/.cursor/mcp.json文件，并且对这些条目的建议编辑是实时的，即使用户拒绝它们也会触发命令的执行。

Aim Security表示，为Cursor添加标准MCP服务器（如Slack）可能会使代理暴露于不可信的数据。攻击者可以发布一个包含注入有效负载的恶意提示到公共频道mcp.json配置文件。

当受害者打开新的聊天并指示代理总结消息时，有效载荷（可能是一个shell）会在未经用户批准的情况下立即降落在磁盘上。

攻击面是任何处理外部内容的第三方MCP服务器：问题跟踪器、客户支持信箱，甚至是搜索引擎。一份被污染的文档就可以将AI代理变成本地shell。

Aim Security的研究人员表示，curexecute攻击可能导致勒索软件和数据盗窃事件，甚至可能通过幻觉操纵人工智能，从而破坏项目或实现slopsquatting攻击。

研究人员于7月私下向Cursor报告了CurXecute，随后该供应商将一个补丁合并到主分支中。7月29日，发布了Cursor 1.3版本，其中包含多项改进和对CurXecute的修复。Cursor还发布了CVE-2025-54135的安全提醒，该漏洞的中等严重性评分为8.6。安全人员建议用户下载并安装最新版本的Cursor，以规避已知的安全风险。