ИИ-ассистент взломает любого по заказу. Достаточно одного хитрого сообщения в чате
NewsMakerВ Cursor обнаружена критическая брешь для тихих атак без вложений, вирусов и ссылок.
В редакторе исходного кода Cursor, использующем искусственный интеллект для помощи программистам, была обнаружена критическая уязвимость, получившая идентификатор CVE-2025-54135 и условное название CurXecute. Она присутствует почти во всех версиях IDE и позволяет удалённо выполнять произвольные команды с правами пользователя — достаточно лишь сформировать вредоносный запрос к агенту.
Cursor поддерживает протокол Model Context Protocol (MCP), с помощью которого встроенный ИИ-ассистент может подключаться к внешним источникам данных — таким как Slack, GitHub или базы данных — и выполнять их команды на основе обычного текста. Как пояснили в Aim Security, именно возможность взаимодействия с внешними системами превращает агента в уязвимый компонент, поскольку он начинает обрабатывать недоверенную информацию, которая может изменить его поведение.
Уязвимость связана с так называемой атакой через внедрение подсказки — техникой, при которой специально подобранный текст заставляет ИИ выполнять команды, не предназначенные пользователем. Подобные механизмы ранее уже применялись, в частности, в Microsoft 365 Copilot, где аналогичная уязвимость позволяла извлекать конфиденциальные данные без участия пользователя. Проблема усугубляется тем, что код от ИИ зачастую содержит уязвимости, которые разработчики не замечают.
MCP-конфигурация Cursor хранится в файле
Один из возможных сценариев: злоумышленник размещает вредоносное сообщение в открытом Slack-канале, подключённом к проекту. Когда пользователь открывает чат и просит ИИ подвести итоги переписки, агент обрабатывает полученные данные и незаметно сохраняет вредоносную настройку на диск. Это может быть, например, команда запуска оболочки или скрипта.
Аналитики подчёркивают, что в зоне риска оказываются все внешние MCP-серверы, обрабатывающие данные из ненадёжных источников — от систем отслеживания задач до клиентской поддержки и поисковых движков. Одна вредоносная запись способна превратить локального агента в средство удалённого управления. Учитывая, что расширения IDE часто содержат уязвимости, проблема становится ещё серьёзнее.
Возможные последствия включают установку программ-вымогателей , кражу данных, разрушение логики проекта через генерацию недостоверных результатов и атаки с подменой зависимостей (slopsquatting).
О проблеме сообщили разработчикам Cursor 7 июля 2025 года, и уже на следующий день исправление было включено в основную ветку. Финальный патч вышел 29 июля вместе с релизом Cursor 1.3. Брешь получила оценку 8.6 баллов по шкале CVSS и классифицирована как проблема средней степени критичности.
Пользователям настоятельно рекомендуется как можно скорее обновиться до актуальной версии, чтобы исключить риск удалённого выполнения команд через внешние MCP-источники.
В редакторе исходного кода Cursor, использующем искусственный интеллект для помощи программистам, была обнаружена критическая уязвимость, получившая идентификатор CVE-2025-54135 и условное название CurXecute. Она присутствует почти во всех версиях IDE и позволяет удалённо выполнять произвольные команды с правами пользователя — достаточно лишь сформировать вредоносный запрос к агенту.
Cursor поддерживает протокол Model Context Protocol (MCP), с помощью которого встроенный ИИ-ассистент может подключаться к внешним источникам данных — таким как Slack, GitHub или базы данных — и выполнять их команды на основе обычного текста. Как пояснили в Aim Security, именно возможность взаимодействия с внешними системами превращает агента в уязвимый компонент, поскольку он начинает обрабатывать недоверенную информацию, которая может изменить его поведение.
Уязвимость связана с так называемой атакой через внедрение подсказки — техникой, при которой специально подобранный текст заставляет ИИ выполнять команды, не предназначенные пользователем. Подобные механизмы ранее уже применялись, в частности, в Microsoft 365 Copilot, где аналогичная уязвимость позволяла извлекать конфиденциальные данные без участия пользователя. Проблема усугубляется тем, что код от ИИ зачастую содержит уязвимости, которые разработчики не замечают.
MCP-конфигурация Cursor хранится в файле
~/.cursor/mcp.json, расположенном в директории проекта. Исследователи обнаружили, что изменения в этом файле вступают в силу сразу — даже если пользователь отклоняет предложенные ИИ правки. Это позволяет злоумышленнику, внедрившему вредоносную инструкцию в внешний источник, изменить конфигурацию MCP и включить выполнение произвольного кода. Один из возможных сценариев: злоумышленник размещает вредоносное сообщение в открытом Slack-канале, подключённом к проекту. Когда пользователь открывает чат и просит ИИ подвести итоги переписки, агент обрабатывает полученные данные и незаметно сохраняет вредоносную настройку на диск. Это может быть, например, команда запуска оболочки или скрипта.
Аналитики подчёркивают, что в зоне риска оказываются все внешние MCP-серверы, обрабатывающие данные из ненадёжных источников — от систем отслеживания задач до клиентской поддержки и поисковых движков. Одна вредоносная запись способна превратить локального агента в средство удалённого управления. Учитывая, что расширения IDE часто содержат уязвимости, проблема становится ещё серьёзнее.
Возможные последствия включают установку программ-вымогателей , кражу данных, разрушение логики проекта через генерацию недостоверных результатов и атаки с подменой зависимостей (slopsquatting).
О проблеме сообщили разработчикам Cursor 7 июля 2025 года, и уже на следующий день исправление было включено в основную ветку. Финальный патч вышел 29 июля вместе с релизом Cursor 1.3. Брешь получила оценку 8.6 баллов по шкале CVSS и классифицирована как проблема средней степени критичности.
Пользователям настоятельно рекомендуется как можно скорее обновиться до актуальной версии, чтобы исключить риск удалённого выполнения команд через внешние MCP-источники.