AI辅助编码工具中的RCE漏洞威胁软件供应链安全

研究人员在一款流行的人工智能（AI）驱动开发环境中发现信任模型存在缺陷，允许恶意行为者修改项目中已批准的代码扩展，并进行持久性远程代码执行（RCE），对现代软件供应链构成威胁。

Check Point Research的研究人员在Cursor中发现了这一关键漏洞——被命名为"MCPoison"，编号为CVE-2025-54136。Cursor使用大型语言模型（LLM）驱动的自动化来加速软件开发。根据今日发布的报告，该漏洞与Cursor配置其模型上下文协议（MCP）的方式有关，MCP是系统让开发者自动化工作流程的一部分。

问题在于，一旦扩展通过MCP获得批准，有人可以在没有任何进一步用户交互的情况下秘密修改它，这提供了一个"在任何基于Cursor的开发环境中实现持久、静默和远程代码执行"的攻击面，Check Point Research的Andrey Charikov、Roman Zaikin和Oded Vanunu在报告中写道。

“一旦MCP获得批准，攻击者可以在用户不知情的情况下重复注入恶意命令，“他们写道。

研究人员指出，具有共享仓库写入权限的攻击者可以利用这种对开发环境的受信任访问执行一系列恶意操作。这些操作包括通过将反向shell嵌入MCP配置来维持持续的远程访问，并在受害者每次打开Cursor时静默执行任意本地命令。

攻击者可以利用该漏洞在用户上下文内提升权限，这在具有云凭证或源代码访问权限的开发人员机器上尤其危险。研究人员写道，他们还可以无限期地在环境中持久存在，因为恶意MCP在每次项目启动或仓库同步时都会重新执行。

披露和缓解措施

Check Point Research于7月16日向Cursor开发团队披露了该问题，该团队于7月29日发布了平台更新版本1.3。尽管该版本的发布说明未提及该漏洞，但根据报告，Check Point在独立测试中确认该问题"已得到有效解决”。

报告称：“现在，对MCP配置的任何更改——包括添加空格这样的小改动——都会触发强制批准提示。用户必须明确批准或拒绝修改后的MCP，然后才能生效。”

Check Point建议任何在其开发环境中使用Cursor的组织立即更新到版本1.3以修复该问题。该版本还修复了Aim Labs发现的Cursor MCP中的提示注入漏洞，该漏洞被命名为"CurXecute”，编号为CVE-2025-54135。

根据Aim Labs的博客文章，该漏洞存在于上周披露，因为Cursor以开发人员级别权限运行，当与获取不受信任外部数据的MCP服务器配对时可能被利用。

文章称：“通过MCP向代理提供中毒数据，攻击者可以在用户权限下获得完整的远程代码执行，并实现任意数量的目标，包括勒索软件、数据盗窃、AI操纵和幻觉等机会。”

新风险范式

除了对使用Cursor的组织构成危险外，这两个漏洞还展示了对AI辅助开发流程的更广泛威胁，“自动化、便利性和隐式信任可能被利用来长期访问开发人员机器、凭证和源代码，“Check Point研究人员写道。

Check Point的首席技术官兼产品漏洞研究负责人Vanunu在电子邮件声明中表示，总体而言，这些AI驱动的开发工具代表了组织的新现实。尽管它们为开发人员构建软件提供了前所未有的现代便利性，但它们也引入了组织从未见过的攻击面。这将需要防御者改变思维方式。

“多年来，我们一直专注于防御传统的供应链攻击，但现在很明显，我们正在进入网络安全威胁的新时代，“Vanunu在声明中表示。