Check Point研究人员在热门AI编程工具Cursor中发现了一个远程代码执行漏洞,攻击者可以通过秘密修改此前已被批准的模型上下文协议(MCP)配置来毒化开发者环境,在用户无感知的情况下将其替换为恶意命令。
好消息是:Cursor在7月29日发布了修复该问题的更新版本(1.3版),现在每次MCP『服务器』条目被修改时都需要用户批准。因此,如果你在使用这款AI驱动的代码编辑器,请务必更新到最新版本,确保不会在每次打开Cursor时给恶意分子提供对你机器的完全访问权限。
尽管Cursor已经修复了该漏洞,但Check Point认为这一漏洞突显了AI供应链的重大风险。该安全公司的研究团队在周二的博客中写道:"该漏洞暴露了AI辅助开发环境背后信任模型的关键弱点,这为将『大语言模型』和自动化集成到工作流程中的团队提高了风险等级。"
MCP是Anthropic在2024年11月推出的开源协议,允许基于AI的系统(如智能体和『大语言模型』)连接到外部数据源并相互交互。虽然MCP确实让这些过程变得更容易,但它也打开了全新攻击面的大门,带来了相关安全威胁。自推出以来,研究人员一直在愉快地挖掘其中的漏洞。
Cursor是一个AI集成开发环境(IDE),使用『大语言模型』帮助编写和调试代码,它还需要一定程度的信任,特别是在使用共享代码、配置文件和基于AI插件的多用户环境中。
Check Point研究人员Andrey Charikov、Roman Zaikin和Oded Vanunu在周二发布的技术报告中表示:"我们着手评估Cursor中MCP执行的信任和验证模型是否正确考虑了随时间的变化,特别是在之前批准的配置后来被修改的情况下。"
这三人补充说:"在协作开发场景中,此类更改很常见——验证中的任何缺口都可能导致命令注入、代码执行或持续性攻击。"
正如你可能猜到的那样,研究人员确实发现了这样的验证缺口,并展示了如何通过修改已批准的MCP『服务器』配置来滥用它,从而在每次在Cursor中打开项目时触发恶意代码执行。
研究团队将该漏洞命名为"MCPoison",它本质上归结为Cursor对MCP配置的一次性批准机制。一旦Cursor批准了初始配置,它就会信任所有未来的修改,而不需要任何新的验证。
攻击者可以通过向共享存储库添加带有无害命令的良性MCP配置,等待有人批准它,然后更改同一条目使其执行恶意命令,从而轻松利用这种信任。每次重新打开Cursor时,恶意命令就会在受害者的机器上静默执行。
Check Point团队还发布了概念验证,演示了这种类型的持续远程代码执行,首先获得对非恶意MCP命令的批准,然后将其替换为反向Shell载荷,从而在受害者每次打开Cursor项目时获得对其机器的访问权限。
据悉,这次漏洞披露只是Check Point研究人员在面向开发者的AI平台中发现的一系列漏洞中的第一个。这三人写道:"随着AI辅助编码工具和『大语言模型』集成环境继续塑造现代软件工作流程,CPR将发布更多发现,突显被忽视的风险,并帮助提高这个新兴生态系统的安全标准。"
所以请继续关注即将到来的更多AI工具安全问题。
Q&A
Q1:MCPoison漏洞是什么?它是如何工作的?
A:MCPoison是Check Point研究人员在Cursor中发现的远程代码执行漏洞。它利用了Cursor对MCP配置的一次性批准机制——一旦初始配置被批准,所有未来修改都会被信任而无需新验证。攻击者可以先添加无害的MCP配置获得批准,然后偷偷替换为恶意命令,在用户每次打开项目时静默执行。
Q2:如何防护MCPoison漏洞攻击?
A:用户应立即将Cursor更新到1.3版本或更高版本。该更新修复了漏洞,现在每次MCP『服务器』条目被修改时都需要用户重新批准。此外,在协作开发环境中要特别注意共享配置文件的变化,避免盲目批准MCP配置修改。
Q3:MCP协议为什么会带来安全风险?
A:MCP是Anthropic推出的开源协议,允许AI系统连接外部数据源并相互交互。虽然它简化了这些过程,但也创造了全新的攻击面。在多用户协作环境中,共享的配置文件和AI插件需要一定程度的信任,而验证机制的缺口可能导致命令注入、代码执行或持续性攻击。
