Исследователи угроз из AimLabs в пятницу раскрыли атаку, направленную на отравление данных, которая затронула программное обеспечение для редактирования кода на базе искусственного интеллекта Cursor и которая могла предоставить злоумышленнику привилегии удаленного выполнения кода на пользовательских устройствах.
По данным AimLabs, компания Cursor получила сообщение об уязвимости 7 июля, а исправление было включено в обновление Cursor версии 1.3 на следующий день. Все предыдущие версии программы по-прежнему «уязвимы для удалённого выполнения кода, вызванного одной внешней инъекцией подсказки», говорится в блоге компании.
Уязвимость, отслеживаемая как CVE-2025-54135, возникает, когда Cursor взаимодействует с сервером протокола конкурса моделей (MCP), который помогает программному обеспечению получать доступ к ряду внешних инструментов из Slack, GitHub и других баз данных, используемых для разработки программного обеспечения.
Но, как и в случае с EchoLeak — еще одним недостатком модели ИИ, обнаруженным AimLabs в прошлом месяце, — агент Cursor может быть перехвачен и манипулирован с помощью вредоносных подсказок при получении данных с серверов MCP.
С помощью одной строки подсказки злоумышленник может влиять на действия Cursor, обладающего привилегиями разработчика на хост-устройствах, практически незаметно для пользователя. В данном случае исследователи внедрили подсказку непосредственно через Slack , которую Cursor получал через подключённый сервер MCP. Эта подсказка изменяла файл конфигурации Cursor, заставляя его добавлять ещё один сервер с вредоносной командой запуска.
Важно то, что в тот момент, когда эти изменения передаются Курсору, он немедленно выполняет вредоносные команды, прежде чем пользователь успеет отклонить предложение.
Это напоминание о том, что многие организации и разработчики интегрируют системы ИИ в свои бизнес-процессы, не до конца понимая, какие новые риски это может создать. Эти модели не только регулярно генерируют небезопасный программный код, но и сами агенты подвержены внушению сторонними инструкциями. Один-единственный вредоносный документ может «превратить агента ИИ в локальную оболочку».
«Эти инструменты предоставляют агенту доступ к внешним и ненадёжным данным, что может повлиять на поток управления агентом», — пишет компания. «Это, в свою очередь, позволяет злоумышленникам перехватить сеанс агента и воспользоваться его привилегиями для выполнения действий от имени пользователя».
Хотя эта уязвимость была устранена, исследователи заявили, что этот тип дефекта неразрывно связан с тем, как работают большинство крупных языковых моделей, которые принимают команды и указания в виде внешних подсказок. В результате, по их мнению, большинство крупных моделей, вероятно, по-прежнему будут уязвимы к аналогичным вариантам той же проблемы.
«Поскольку выходные данные модели управляют траекторией выполнения любого агента ИИ, эта уязвимость является внутренней и продолжает проявляться на разных платформах», — подытожил блог.
По данным AimLabs, компания Cursor получила сообщение об уязвимости 7 июля, а исправление было включено в обновление Cursor версии 1.3 на следующий день. Все предыдущие версии программы по-прежнему «уязвимы для удалённого выполнения кода, вызванного одной внешней инъекцией подсказки», говорится в блоге компании.
Уязвимость, отслеживаемая как CVE-2025-54135, возникает, когда Cursor взаимодействует с сервером протокола конкурса моделей (MCP), который помогает программному обеспечению получать доступ к ряду внешних инструментов из Slack, GitHub и других баз данных, используемых для разработки программного обеспечения.
Но, как и в случае с EchoLeak — еще одним недостатком модели ИИ, обнаруженным AimLabs в прошлом месяце, — агент Cursor может быть перехвачен и манипулирован с помощью вредоносных подсказок при получении данных с серверов MCP.
С помощью одной строки подсказки злоумышленник может влиять на действия Cursor, обладающего привилегиями разработчика на хост-устройствах, практически незаметно для пользователя. В данном случае исследователи внедрили подсказку непосредственно через Slack , которую Cursor получал через подключённый сервер MCP. Эта подсказка изменяла файл конфигурации Cursor, заставляя его добавлять ещё один сервер с вредоносной командой запуска.
Важно то, что в тот момент, когда эти изменения передаются Курсору, он немедленно выполняет вредоносные команды, прежде чем пользователь успеет отклонить предложение.
Это напоминание о том, что многие организации и разработчики интегрируют системы ИИ в свои бизнес-процессы, не до конца понимая, какие новые риски это может создать. Эти модели не только регулярно генерируют небезопасный программный код, но и сами агенты подвержены внушению сторонними инструкциями. Один-единственный вредоносный документ может «превратить агента ИИ в локальную оболочку».
«Эти инструменты предоставляют агенту доступ к внешним и ненадёжным данным, что может повлиять на поток управления агентом», — пишет компания. «Это, в свою очередь, позволяет злоумышленникам перехватить сеанс агента и воспользоваться его привилегиями для выполнения действий от имени пользователя».
Хотя эта уязвимость была устранена, исследователи заявили, что этот тип дефекта неразрывно связан с тем, как работают большинство крупных языковых моделей, которые принимают команды и указания в виде внешних подсказок. В результате, по их мнению, большинство крупных моделей, вероятно, по-прежнему будут уязвимы к аналогичным вариантам той же проблемы.
«Поскольку выходные данные модели управляют траекторией выполнения любого агента ИИ, эта уязвимость является внутренней и продолжает проявляться на разных платформах», — подытожил блог.
