Faille Critique dans le Protocole MCP de Cursor AI : Risque pour la Chaîne d'Approvisionnement

Les chercheurs en cybersécurité de Check Point ont découvert une vulnérabilité significative d'exécution de code à distance dans Cursor, un outil de codage populaire alimenté par l'IA. La faille, surnommée "MCPoison", aurait pu permettre aux attaquants de compromettre les environnements de développement en modifiant subtilement des configurations précédemment approuvées au sein du Protocole de Contexte de Modèle (MCP), permettant l'exécution silencieuse de commandes malveillantes sans aucune notification à l'utilisateur.

Répondant rapidement au problème, Cursor a publié la version 1.3 le 29 juillet, qui implémente une correction cruciale. Cette mise à jour exige désormais une approbation explicite de l'utilisateur chaque fois qu'une entrée de serveur MCP est modifiée, améliorant considérablement la sécurité. Il est fortement conseillé aux utilisateurs de l'éditeur de code alimenté par l'IA de mettre à jour vers la dernière version pour protéger leurs systèmes contre les menaces potentielles.

Bien que Cursor ait corrigé la vulnérabilité, Check Point considère cet incident comme une illustration frappante des risques émergents de la chaîne d'approvisionnement de l'IA. "La faille expose une faiblesse critique dans le modèle de confiance derrière les environnements de développement assistés par l'IA, augmentant les enjeux pour les équipes intégrant les LLM et l'automatisation dans leurs flux de travail", a déclaré l'équipe de recherche de Check Point dans un récent billet de blog.

La vulnérabilité cible spécifiquement le Protocole de Contexte de Modèle (MCP), un protocole open-source introduit par Anthropic en novembre 2024. Le MCP facilite les connexions entre les systèmes basés sur l'IA, tels que les agents et les grands modèles linguistiques (LLM), et les sources de données externes, leur permettant d'interagir. Bien que conçu pour rationaliser ces processus, il introduit également de nouvelles surfaces d'attaque que les chercheurs en sécurité étudient activement depuis son déploiement.

Cursor, un environnement de développement intégré (IDE) basé sur l'IA, exploite les LLM pour aider à l'écriture et au débogage de code. De tels outils reposent intrinsèquement sur un certain degré de confiance, en particulier dans les environnements collaboratifs impliquant du code partagé, des fichiers de configuration et des plugins basés sur l'IA. Les chercheurs de Check Point Andrey Charikov, Roman Zaikin et Oded Vanunu ont expliqué leur objectif : "Nous avons entrepris d'évaluer si le modèle de confiance et de validation pour l'exécution du MCP dans Cursor tenait correctement compte des changements au fil du temps, en particulier dans les cas où une configuration précédemment approuvée est ultérieurement modifiée." Ils ont ajouté que dans le développement collaboratif, de tels changements sont courants, et les lacunes de validation pourraient entraîner une injection de commandes, une exécution de code ou une compromission persistante.

Les chercheurs ont en effet identifié une telle faille de validation. Ils ont démontré comment un attaquant pourrait l'exploiter en soumettant initialement une configuration de serveur MCP bénigne à un référentiel partagé. Une fois approuvée par un utilisateur, l'attaquant pourrait alors modifier secrètement cette même entrée pour y inclure une commande malveillante. En raison du précédent mécanisme d'"approbation unique" de Cursor, la commande malveillante s'exécututerait alors silencieusement sur la machine de la victime chaque fois que le projet Cursor serait ouvert. Check Point a démontré avec succès l'exécution de code à distance persistante en remplaçant une commande non malveillante approuvée par une charge utile de reverse-shell, obtenant ainsi l'accès à la machine de la victime.

Cette divulgation est, selon les rapports, la première d'une série de vulnérabilités que les chercheurs de Check Point ont découvertes dans les plateformes d'IA axées sur les développeurs. La firme prévoit de publier d'autres résultats, visant à mettre en évidence les risques négligés et à élever les normes de sécurité au sein de l'écosystème de l'IA en évolution rapide.