Kritische Schwachstelle in Cursor AI: MCP birgt Lieferkettenrisiko

Cybersicherheitsforscher von Check Point haben eine signifikante Remote-Code-Execution-Schwachstelle in Cursor, einem beliebten KI-gestützten Codierungstool, entdeckt. Die als „MCPoison“ bezeichnete Schwachstelle hätte Angreifern ermöglichen können, Entwicklerumgebungen zu kompromittieren, indem sie zuvor genehmigte Konfigurationen innerhalb des Model Context Protocols (MCP) subtil veränderten, was die stille Ausführung bösartiger Befehle ohne Benutzerbenachrichtigung ermöglichte.

Cursor reagierte umgehend auf das Problem und veröffentlichte am 29. Juli Version 1.3, die eine entscheidende Korrektur implementiert. Dieses Update schreibt nun eine explizite Benutzergenehmigung vor, jedes Mal, wenn ein MCP-Servereintrag geändert wird, was die Sicherheit erheblich verbessert. Benutzern des KI-gestützten Code-Editors wird dringend empfohlen, auf die neueste Version zu aktualisieren, um ihre Systeme vor potenziellen Bedrohungen zu schützen.

Obwohl Cursor die Schwachstelle behoben hat, betrachtet Check Point diesen Vorfall als eine deutliche Illustration der aufkommenden KI-Lieferkettenrisiken. „Die Schwachstelle offenbart eine kritische Schwäche im Vertrauensmodell hinter KI-gestützten Entwicklungsumgebungen und erhöht die Risiken für Teams, die LLMs und Automatisierung in ihre Arbeitsabläufe integrieren“, erklärte das Forschungsteam von Check Point in einem kürzlich veröffentlichten Blogbeitrag.

Die Schwachstelle zielt speziell auf das Model Context Protocol (MCP) ab, ein Open-Source-Protokoll, das von Anthropic im November 2024 eingeführt wurde. MCP erleichtert die Verbindungen zwischen KI-basierten Systemen wie Agenten und großen Sprachmodellen (LLMs) und externen Datenquellen, sodass diese interagieren können. Obwohl es darauf ausgelegt ist, diese Prozesse zu optimieren, führt es auch neue Angriffsflächen ein, die Sicherheitsforscher seit seiner Einführung aktiv untersuchen.

Cursor, eine KI-integrierte Entwicklungsumgebung (IDE), nutzt LLMs, um beim Schreiben und Debuggen von Code zu helfen. Solche Tools sind naturgemäß auf ein gewisses Maß an Vertrauen angewiesen, insbesondere in kollaborativen Umgebungen, die gemeinsam genutzten Code, Konfigurationsdateien und KI-basierte Plugins umfassen. Die Check Point-Forscher Andrey Charikov, Roman Zaikin und Oded Vanunu erklärten ihren Fokus: „Wir wollten bewerten, ob das Vertrauens- und Validierungsmodell für die MCP-Ausführung in Cursor Änderungen im Laufe der Zeit angemessen berücksichtigte, insbesondere in Fällen, in denen eine zuvor genehmigte Konfiguration später geändert wird.“ Sie fügten hinzu, dass solche Änderungen in der kollaborativen Entwicklung üblich sind und Validierungslücken zu Befehlsinjektionen, Codeausführung oder dauerhafter Kompromittierung führen könnten.

Die Forscher identifizierten tatsächlich eine solche Validierungsschwachstelle. Sie demonstrierten, wie ein Angreifer sie ausnutzen könnte, indem er zunächst eine gutartige MCP-Serverkonfiguration an ein gemeinsames Repository übermittelte. Sobald diese von einem Benutzer genehmigt wurde, konnte der Angreifer denselben Eintrag heimlich ändern, um einen bösartigen Befehl aufzunehmen. Aufgrund des früheren „Einmal-Genehmigungs“-Mechanismus von Cursor würde der bösartige Befehl dann bei jedem Öffnen des Cursor-Projekts stillschweigend auf dem Rechner des Opfers ausgeführt. Check Point demonstrierte erfolgreich eine persistente Remote-Code-Execution, indem ein genehmigter nicht-bösartiger Befehl durch eine Reverse-Shell-Payload ersetzt wurde, wodurch der Zugriff auf den Rechner des Opfers erlangt wurde.

Diese Offenlegung ist Berichten zufolge die erste in einer Reihe von Schwachstellen, die Check Point-Forscher in entwicklerorientierten KI-Plattformen aufgedeckt haben. Das Unternehmen plant, weitere Ergebnisse zu veröffentlichen, um übersehene Risiken hervorzuheben und die Sicherheitsstandards innerhalb des sich schnell entwickelnden KI-Ökosystems zu erhöhen.