Исследователи из компании Check Point Research раскрыли информацию о критической уязвимости в AI-редакторе кода Cursor. Уязвимость, получившая название MCPoison (CVE-2025-54136) и оцененная в 7.2 балла по шкале CVSS, позволяет злоумышленникам удаленно выполнять произвольный код на машине жертвы. Атака эксплуатирует модель доверия редактора к конфигурационным файлам, обходя защиту путем подмены содержимого файла уже после его одобрения пользователем.
В основе уязвимости лежит использование протокола Model Context Protocol (MCP), открытого стандарта от компании Anthropic, представленного в ноябре 2024 года. Этот протокол позволяет языковым моделям взаимодействовать с внешними инструментами. Механизм атаки MCPoison состоит из нескольких шагов. Сначала злоумышленник добавляет в общий репозиторий на GitHub безвредный конфигурационный файл MCP. Жертва, работающая над проектом, однократно одобряет этот файл в редакторе Cursor. После этого атакующий заменяет содержимое уже одобренного файла на вредоносный код, например, команду для запуска скрипта или установки бэкдора. Поскольку файл уже числится в доверенных, Cursor не запрашивает повторное одобрение и выполняет вредоносный код при каждом запуске редактора, обеспечивая атакующему постоянный удаленный доступ.
В конце июля 2025 года компания Cursor выпустила исправление, которое устраняет данную уязвимость. Теперь редактор требует повторного подтверждения от пользователя при каждом изменении в конфигурационном файле MCP. Проблема MCPoison не является единственной для этого инструмента. Ранее исследователи из Aim Labs, Backslash Security и HiddenLayer обнаружили в Cursor ряд других недостатков, позволявших удаленно выполнять код и обходить защитные механизмы. Эти уязвимости были исправлены в версии 1.3.
Эти случаи выявляют фундаментальные риски, связанные с безопасностью цепочки поставок в экосистеме искусственного интеллекта. Тестирование более 100 больших языковых моделей (LLM) показало, что 45% сгенерированного ими кода на языках Java, Python, C и JavaScript не проходят тесты безопасности и содержат уязвимости из списка OWASP Top 10. Такие проблемы, как небезопасная генерация кода, отравление моделей, инъекции промптов, галлюцинации и утечки данных, становятся системными.
Атаки на сами модели становятся все более изощренными. Техника LegalPwn использует юридические оговорки и условия обслуживания для обмана LLM, заставляя ее классифицировать вредоносный код как безопасный. Атака «man-in-the-prompt» осуществляется через вредоносное расширение для браузера, которое без специальных разрешений внедряет зловредные промпты в диалог с чат-ботом через доступ к DOM-модели, незаметно извлекая данные.
Другой метод взлома, известный как Fallacy Failure, манипулирует LLM, заставляя ее принять логически неверные предпосылки. В результате модель обходит собственные ограничения безопасности и генерирует запрещенный контент. Эти атаки демонстрируют, что уязвимости лежат не только в коде, но и в логике работы самих моделей.
Угрозы распространяются и на инфраструктуру. Атака с использованием отравленных шаблонов GGUF (GPT-Generated Unified Format) позволяет встраивать вредоносные инструкции непосредственно в файлы шаблонов чатов. Эти инструкции выполняются на этапе инференса модели, обходя все защитные барьеры и валидацию входных данных. Такие файлы могут распространяться через доверенные репозитории, такие как Hugging Face, подрывая доверие ко всей экосистеме.
Вектор атаки также направлен на среду обучения машинного обучения, включая платформы MLFlow, Amazon SageMaker и Azure ML. Успешный взлом таких систем ставит под угрозу конфиденциальность и целостность моделей, открывая возможности для кражи данных, отравления моделей и дальнейшего продвижения по сети с повышением привилегий.
Особую опасность представляет явление, обнаруженное компанией Anthropic и названное «сублимальным обучением». В ходе этого процесса языковые модели усваивают скрытые характеристики и могут передавать вредоносные поведенческие черты через сгенерированные данные, которые на первый взгляд кажутся совершенно не связанными с опасностью. Это приводит к непредсказуемому поведению моделей и подрывает их согласованность с заданными правилами.
Сложность представляет и атака на многоагентные системы (MAS), получившая название MAS hijacking. Она позволяет манипулировать потоком управления системой и выполнять произвольный код в различных доменах и средах, создавая каскадные сбои.
Дор Сариг из компании Pillar Security отмечает, что риски от взломов LLM растут по мере их интеграции в корпоративные инструменты. По его словам, «эти атаки могут распространяться через «контекстуальные цепочки», вызывая каскадные сбои в связанных между собой AI-системах». Традиционные меры безопасности, ориентированные на поиск программных ошибок и CVE, оказываются недостаточными. Новая парадигма атак эксплуатирует сам язык и логику, на которых построены модели, требуя принципиально нового подхода к обеспечению кибербезопасности.
Изображение носит иллюстративный характер
В основе уязвимости лежит использование протокола Model Context Protocol (MCP), открытого стандарта от компании Anthropic, представленного в ноябре 2024 года. Этот протокол позволяет языковым моделям взаимодействовать с внешними инструментами. Механизм атаки MCPoison состоит из нескольких шагов. Сначала злоумышленник добавляет в общий репозиторий на GitHub безвредный конфигурационный файл MCP. Жертва, работающая над проектом, однократно одобряет этот файл в редакторе Cursor. После этого атакующий заменяет содержимое уже одобренного файла на вредоносный код, например, команду для запуска скрипта или установки бэкдора. Поскольку файл уже числится в доверенных, Cursor не запрашивает повторное одобрение и выполняет вредоносный код при каждом запуске редактора, обеспечивая атакующему постоянный удаленный доступ.
В конце июля 2025 года компания Cursor выпустила исправление, которое устраняет данную уязвимость. Теперь редактор требует повторного подтверждения от пользователя при каждом изменении в конфигурационном файле MCP. Проблема MCPoison не является единственной для этого инструмента. Ранее исследователи из Aim Labs, Backslash Security и HiddenLayer обнаружили в Cursor ряд других недостатков, позволявших удаленно выполнять код и обходить защитные механизмы. Эти уязвимости были исправлены в версии 1.3.
Эти случаи выявляют фундаментальные риски, связанные с безопасностью цепочки поставок в экосистеме искусственного интеллекта. Тестирование более 100 больших языковых моделей (LLM) показало, что 45% сгенерированного ими кода на языках Java, Python, C и JavaScript не проходят тесты безопасности и содержат уязвимости из списка OWASP Top 10. Такие проблемы, как небезопасная генерация кода, отравление моделей, инъекции промптов, галлюцинации и утечки данных, становятся системными.
Атаки на сами модели становятся все более изощренными. Техника LegalPwn использует юридические оговорки и условия обслуживания для обмана LLM, заставляя ее классифицировать вредоносный код как безопасный. Атака «man-in-the-prompt» осуществляется через вредоносное расширение для браузера, которое без специальных разрешений внедряет зловредные промпты в диалог с чат-ботом через доступ к DOM-модели, незаметно извлекая данные.
Другой метод взлома, известный как Fallacy Failure, манипулирует LLM, заставляя ее принять логически неверные предпосылки. В результате модель обходит собственные ограничения безопасности и генерирует запрещенный контент. Эти атаки демонстрируют, что уязвимости лежат не только в коде, но и в логике работы самих моделей.
Угрозы распространяются и на инфраструктуру. Атака с использованием отравленных шаблонов GGUF (GPT-Generated Unified Format) позволяет встраивать вредоносные инструкции непосредственно в файлы шаблонов чатов. Эти инструкции выполняются на этапе инференса модели, обходя все защитные барьеры и валидацию входных данных. Такие файлы могут распространяться через доверенные репозитории, такие как Hugging Face, подрывая доверие ко всей экосистеме.
Вектор атаки также направлен на среду обучения машинного обучения, включая платформы MLFlow, Amazon SageMaker и Azure ML. Успешный взлом таких систем ставит под угрозу конфиденциальность и целостность моделей, открывая возможности для кражи данных, отравления моделей и дальнейшего продвижения по сети с повышением привилегий.
Особую опасность представляет явление, обнаруженное компанией Anthropic и названное «сублимальным обучением». В ходе этого процесса языковые модели усваивают скрытые характеристики и могут передавать вредоносные поведенческие черты через сгенерированные данные, которые на первый взгляд кажутся совершенно не связанными с опасностью. Это приводит к непредсказуемому поведению моделей и подрывает их согласованность с заданными правилами.
Сложность представляет и атака на многоагентные системы (MAS), получившая название MAS hijacking. Она позволяет манипулировать потоком управления системой и выполнять произвольный код в различных доменах и средах, создавая каскадные сбои.
Дор Сариг из компании Pillar Security отмечает, что риски от взломов LLM растут по мере их интеграции в корпоративные инструменты. По его словам, «эти атаки могут распространяться через «контекстуальные цепочки», вызывая каскадные сбои в связанных между собой AI-системах». Традиционные меры безопасности, ориентированные на поиск программных ошибок и CVE, оказываются недостаточными. Новая парадигма атак эксплуатирует сам язык и логику, на которых построены модели, требуя принципиально нового подхода к обеспечению кибербезопасности.
