Cursor AI工具MCP协议惊现关键漏洞，暗藏供应链风险

Check Point的网络安全研究人员在流行的AI驱动编码工具Cursor中发现了一个重要的远程代码执行漏洞。该漏洞被称为“MCPoison”，可能允许攻击者通过巧妙地修改“模型上下文协议”（MCP）中先前批准的配置来危害开发人员环境，从而在用户不知情的情况下静默执行恶意命令。

Cursor迅速解决了该问题，并于7月29日发布了1.3版本，实施了关键修复。此更新现在要求每次修改MCP服务器条目时都必须获得明确的用户批准，从而显著增强了安全性。强烈建议AI驱动的代码编辑器用户更新到最新版本，以保护其系统免受潜在威胁。

尽管Cursor已经修补了该漏洞，但Check Point认为此次事件是新兴AI供应链风险的鲜明例证。Check Point的研究团队在最近的博客文章中指出：“该漏洞暴露了AI辅助开发环境背后信任模型的关键弱点，提高了将大型语言模型（LLMs）和自动化集成到其工作流程中的团队的风险。”

该漏洞专门针对模型上下文协议（MCP），这是一个由Anthropic于2024年11月引入的开源协议。MCP促进了AI系统（如代理和大型语言模型（LLMs））与外部数据源之间的连接，使它们能够进行交互。虽然其设计旨在简化这些过程，但它也引入了新的攻击面，安全研究人员自其推出以来一直在积极调查。

Cursor是一个AI集成开发环境（IDE），它利用大型语言模型（LLMs）来辅助代码编写和调试。此类工具本质上依赖于一定程度的信任，尤其是在涉及共享代码、配置文件和AI插件的协作环境中。Check Point研究人员Andrey Charikov、Roman Zaikin和Oded Vanunu解释了他们的关注点：“我们着手评估Cursor中MCP执行的信任和验证模型是否妥善考虑了随时间变化的情况，尤其是在先前批准的配置后来被修改的情况下。”他们补充说，在协作开发中，此类更改很常见，而验证漏洞可能导致命令注入、代码执行或持久性入侵。

研究人员确实发现了这样一个验证漏洞。他们演示了攻击者如何利用它：首先将一个良性MCP服务器配置提交到共享仓库。一旦用户批准，攻击者就可以秘密修改同一条目，以包含恶意命令。由于Cursor之前的“一次性批准”机制，每当Cursor项目打开时，恶意命令就会在受害者的机器上静默执行。Check Point成功演示了通过用反向Shell负载替换已批准的非恶意命令，从而获得对受害者机器的访问，实现了持久性远程代码执行。

据报道，此次披露是Check Point研究人员在面向开发者的AI平台中发现的一系列漏洞中的首例。该公司计划发布更多发现，旨在突出被忽视的风险，并提升快速发展的AI生态系统中的安全标准。