Fallo Crítico en MCP de Cursor AI: Riesgo para la Cadena de Suministro de IA

Investigadores de ciberseguridad de Check Point han descubierto una importante vulnerabilidad de ejecución remota de código en Cursor, una popular herramienta de codificación impulsada por IA. La falla, denominada “MCPoison”, podría haber permitido a los atacantes comprometer los entornos de desarrollo al alterar sutilmente configuraciones previamente aprobadas dentro del Protocolo de Contexto de Modelo (MCP), habilitando la ejecución silenciosa de comandos maliciosos sin ninguna notificación al usuario.

Abordando rápidamente el problema, Cursor lanzó la versión 1.3 el 29 de julio, que implementa una corrección crucial. Esta actualización ahora exige la aprobación explícita del usuario cada vez que se modifica una entrada del servidor MCP, mejorando significativamente la seguridad. Se recomienda encarecidamente a los usuarios del editor de código impulsado por IA que actualicen a la última versión para proteger sus sistemas de posibles amenazas.

Aunque Cursor ha parcheado la vulnerabilidad, Check Point considera este incidente como una clara ilustración de los riesgos emergentes en la cadena de suministro de IA. “La falla expone una debilidad crítica en el modelo de confianza detrás de los entornos de desarrollo asistidos por IA, lo que aumenta las apuestas para los equipos que integran LLMs y automatización en sus flujos de trabajo”, afirmó el equipo de investigación de Check Point en una reciente publicación de blog.

La vulnerabilidad se dirige específicamente al Protocolo de Contexto de Modelo (MCP), un protocolo de código abierto introducido por Anthropic en noviembre de 2024. El MCP facilita las conexiones entre sistemas basados en IA, como agentes y modelos de lenguaje grandes (LLM), y fuentes de datos externas, permitiéndoles interactuar. Aunque diseñado para agilizar estos procesos, también introduce nuevas superficies de ataque que los investigadores de seguridad han estado investigando activamente desde su lanzamiento.

Cursor, un entorno de desarrollo integrado (IDE) con IA, aprovecha los LLM para ayudar con la escritura y depuración de código. Dichas herramientas dependen inherentemente de cierto grado de confianza, particularmente en entornos colaborativos que involucran código compartido, archivos de configuración y complementos basados en IA. Los investigadores de Check Point Andrey Charikov, Roman Zaikin y Oded Vanunu explicaron su enfoque: “Nos propusimos evaluar si el modelo de confianza y validación para la ejecución de MCP en Cursor tenía en cuenta adecuadamente los cambios a lo largo del tiempo, especialmente en los casos en que una configuración previamente aprobada se modificaba posteriormente”. Añadieron que en el desarrollo colaborativo, tales cambios son comunes, y las brechas de validación podrían conducir a la inyección de comandos, la ejecución de código o un compromiso persistente.

Los investigadores identificaron efectivamente tal falla de validación. Demostraron cómo un atacante podría explotarla enviando inicialmente una configuración de servidor MCP benigna a un repositorio compartido. Una vez aprobada por un usuario, el atacante podría modificar secretamente esta misma entrada para incluir un comando malicioso. Debido al mecanismo de “aprobación única” anterior de Cursor, el comando malicioso se ejecutaría silenciosamente en la máquina de la víctima cada vez que se abriera el proyecto de Cursor. Check Point demostró con éxito la ejecución remota de código persistente al reemplazar un comando no malicioso aprobado con una carga útil de shell inverso, obteniendo así acceso a la máquina de la víctima.

Esta divulgación es, según se informa, la primera de una serie de vulnerabilidades que los investigadores de Check Point han descubierto en plataformas de IA enfocadas en desarrolladores. La firma planea publicar más hallazgos, con el objetivo de resaltar riesgos pasados por alto y elevar los estándares de seguridad dentro del ecosistema de IA en rápida evolución.