Cursor AI Code Editor Kwetsbaarheid Schakelt RCE mogelijk via kwaadwillende MCP -bestandswaps na goedkeuring

Cyberbeveiliging
Cursor AI Code Editor Vulnerability

Cybersecurity-onderzoekers hebben een hoogwaardig beveiligingsfout bekendgemaakt in de Artificial Intelligence (AI) -gestuurde code-editor-cursor die zou kunnen leiden tot externe code-uitvoering.

De kwetsbaarheid, gevolgd als CVE-2025-54136 (CVSS-score: 7.2), is gecodeerd Mcpoison Door Check Point Research, vanwege het feit dat het een eigenzinnige gebruik maakt van de manier waarop de software wijzigingen behandelt om de configuraties van de contextprotocol (MCP) server te modelleren.

“Een kwetsbaarheid in Cursor AI stelt een aanvaller in staat om externe en aanhoudende code -uitvoering te bereiken door een reeds vertrouwd MCP -configuratiebestand te wijzigen in een gedeelde Github -repository of het bestand lokaal op de machine van het doel te bewerken,” zei Cursor in een advies dat vorige week werd vrijgegeven.

“Zodra een medewerker een onschadelijke MCP accepteert, kan de aanvaller deze stilletjes ruilen voor een kwaadaardig commando (bijv. Calc.exe) zonder een waarschuwing of opnieuw uit te voeren.”

MCP is een door antropisch ontwikkelde open standaard waarmee grote taalmodellen (LLMS) op een gestandaardiseerde manier kunnen communiceren met externe hulpmiddelen, gegevens en services. Het werd geïntroduceerd door de AI Company in november 2024.

CVE-2025-54136, volgens het controlepunt, heeft te maken met hoe het mogelijk is voor een aanvaller om het gedrag van een MCP-configuratie te wijzigen nadat een gebruiker het binnen de cursor heeft goedgekeurd. In het bijzonder ontvouwt het zich als volgt –

  • Voeg een goedaardig ogende MCP-configuratie (“.cursor/regels/mcp.json”) toe aan een gedeelde repository
  • Wacht tot het slachtoffer de code trekt en deze eenmaal in cursor goedkeuren
  • Vervang de MCP -configuratie door een kwaadaardige lading, bijvoorbeeld, start een script of voer een achterdeur uit
  • Bereik aanhoudende code -uitvoering elke keer dat het slachtoffer de cursor opent

Het fundamentele probleem hier is dat zodra een configuratie is goedgekeurd, het voor onbepaalde tijd wordt vertrouwd door cursor voor toekomstige runs, zelfs als het is gewijzigd. Succesvolle exploitatie van de kwetsbaarheid stelt organisaties niet alleen bloot aan de risico’s van ketens, maar opent zonder hun medeweten de deur naar gegevens en diefstal van intellectueel eigendom.

Na verantwoorde openbaarmaking op 16 juli 2025, is het probleem aangepakt door Cursor in versie 1.3 die eind juli 2025 wordt uitgebracht door de goedkeuring van de gebruikers te eisen elke keer dat een vermelding in het MCP -configuratiebestand wordt gewijzigd.

“De fout legt een kritische zwakte bloot in het vertrouwensmodel achter AI-geassisteerde ontwikkelingsomgevingen, waardoor de inzet wordt verhoogd voor teams die LLMS en automatisering integreren in hun workflows,” zei Check Point.

De ontwikkeling komt dagen na AIM-laboratoria, backslash-beveiliging en HiddenLayer heeft meerdere zwakke punten blootgelegd in de AI-tool die hadden kunnen worden misbruikt om externe code-uitvoering te verkrijgen en de op denylist gebaseerde bescherming te omzeilen. Ze zijn ook gepatcht in versie 1.3.

De bevindingen vallen ook samen met de groeiende acceptatie van AI in zakelijke workflows, waaronder het gebruik van LLMS voor het genereren van codes, het verbreden van het aanvalsoppervlak naar verschillende opkomende risico’s zoals AI supply chain -aanvallen, onveilige code, modelvergiftiging, snelle injectie, hallucinaties, ongepaste antwoorden en gegevenslekkage –

  • Uit een test van meer dan 100 LLM’s voor hun vermogen om Java, Python, C#en JavaScript -code te schrijven, heeft geconstateerd dat 45% van de gegenereerde codemonsters niet -beveiligingstests mislukte en OWASP Top 10 beveiligingskwetsbaarheden heeft geïntroduceerd. Java leidde met een 72%beveiligingsfoutpercentage, gevolgd door C# (45%), JavaScript (43%) en Python (38%).
  • Een aanval genaamd LegalPWN heeft onthuld dat het mogelijk is om wettelijke disclaimers, servicevoorwaarden of privacybeleid te benutten als een nieuwe snelle injectie -vector, die benadrukt hoe kwaadaardige instructies kunnen worden ingebed in legitieme, maar vaak over het hoofd geziene, tekstuele componenten om niet -bedoeld gedrag in LLMS te activeren in het systeem van de ontwikkelaar.
  • Een aanval genaamd Man-in-the-Prompt die gebruik maakt van een malafide browserverlenging zonder speciale machtigingen om een nieuw browsertabblad op de achtergrond te openen, een AI-chatbot te starten en ze te injecteren met kwaadaardige aanwijzingen om gegevensoverschrijdend gegevens te extraheren en modelintegriteit te compromissen. Dit maakt gebruik van het feit dat elke browser-add-on met scripttoegang tot het documentobjectmodel (DOM) de AI-prompt direct kan lezen of schrijven.
  • Een jailbreak -techniek genaamd Fallacy Failure die een LLM manipuleert om logisch ongeldige gebouwen te accepteren en ervoor zorgt dat het anders beperkte outputs produceert, waardoor het model misleidt om zijn eigen regels te overtreden.
  • Een aanval genaamd MAS-kaping die de controlestroom van een multi-agent systeem (MAS) manipuleert om willekeurige kwaadaardige code over domeinen, mediums en topologieën uit te voeren door het agentische karakter van AI-systemen te bewapenen.
  • Een techniek genaamd vergiftigde GPT-gegenereerde Unified Format (GGGLF) -sjablonen die zich richt op de AI-modelinferentie pijplijn door kwaadaardige instructies in te bedden in de chat-sjabloonbestanden die tijdens de inferentiefase uitvoeren om de uitgangen te compromitteren. Door de aanval tussen invoervalidatie en modeluitgang te positioneren, is de aanpak zowel stiekem en omzeilt AI -vangrails. Met GGUF -bestanden die zijn gedistribueerd via services zoals Hugging Face, maakt de aanval gebruik van het Supply Chain Trust -model om de aanval te activeren.
  • Een aanvaller kan zich richten op de trainingsomgevingen van Machine Learning (ML), zoals MLFLOW, Amazon Sagemaker en Azure ML om de vertrouwelijkheid, integriteit en beschikbaarheid van de modellen in gevaar te brengen, wat uiteindelijk leidt tot laterale beweging, privilege -escalatie, evenals trainingsgegevens en diefstal en vergiftiging.
  • Een studie door antropisch heeft ontdekt dat LLMS verborgen kenmerken kan leren tijdens destillatie, een fenomeen dat subliminaal leren wordt genoemd, waardoor modellen gedragskenmerken overdragen door gegenereerde gegevens die volledig geen verband houden met die eigenschappen, die mogelijk leiden tot verkeerde afstemming en schadelijk gedrag.

“Naarmate grote taalmodellen diep worden ingebed in agentworkflows, bedrijfskopiloten en ontwikkelaarstools, escaleert het risico van deze jailbreaks aanzienlijk,” zei Dor Saris van Pillar Security. “Moderne jailbreaks kunnen zich verspreiden door contextuele ketens, een AI -component infecteren en leiden tot trapsgewijze logische storingen in onderling verbonden systemen.”

“Deze aanvallen benadrukken dat AI -beveiliging een nieuw paradigma vereist, omdat ze traditionele waarborgen omzeilen zonder te vertrouwen op architecturale fouten of CVE’s. De kwetsbaarheid ligt in de taal en redenering dat het model is ontworpen om te emuleren.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Gemini -app kan nu aangepaste verhalenboeken voor u maken

De smart -tv’s van Samsung krijgen slimmer zoeken met verbeterde Bixby -functies

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]