В серверном компоненте
Проблема затрагивала сервер Framelink Figma MCP, который используется для интеграции с ассистентами для написания кода на базе искусственного интеллекта, таким как Cursor. Суть уязвимости заключалась в «проектном просчёте» в резервном механизме обработки запросов. Изначально сервер пытался получить контент через стандартный API
Технический сбой происходил в файле
В официальном уведомлении GitHub говорится: «Сервер конструирует и выполняет команды оболочки, используя непроверенные пользовательские данные непосредственно в строках командной строки. Это создает возможность для инъекции метасимволов оболочки...» Уязвимость была обнаружена и раскрыта в июле 2025 года специалистом по кибербезопасности Йоханном Силламом из компании Imperva, принадлежащей Thales.
Существовало несколько сценариев эксплуатации. Злоумышленник в той же локальной сети, что и жертва (например, в публичной Wi-Fi сети), мог отправить серию специально сформированных запросов на уязвимый MCP-сервер. Другой вектор атаки — DNS Rebinding, при котором жертву заманивали на вредоносный сайт, перенаправлявший запросы на локальный сервер разработчика. Третий сценарий предполагал косвенное внедрение команд через ИИ-ассистентов.
Атака разворачивалась в два этапа. Сначала клиент отправлял запрос
Уязвимость была полностью исправлена 29 сентября 2025 года с выпуском
На фоне этой проблемы стала известна другая уязвимость, связанная с безопасностью инструментов на базе ИИ. Исследователи из компании FireTail обнаружили атаку типа «ASCII smuggling» в чат-боте Google Gemini. Эта техника позволяет обходить защитные фильтры, провоцировать нежелательные ответы, а также может привести к автоматизированной подмене личности и систематическому отравлению данных.
Несмотря на выявленные риски, Google приняла решение не исправлять данную уязвимость в Gemini. Аналогичная проблема также затрагивает большие языковые модели DeepSeek и Grok от компании xAI.
Опасность атаки «ASCII smuggling» значительно возрастает, когда подобные языковые модели интегрируются в корпоративные платформы, такие как Google Workspace. По оценке FireTail, эта проблема превращает «недостаток пользовательского интерфейса в потенциальный кошмар безопасности».
figma-developer-mcp, предназначенном для разработчиков, была обнаружена и исправлена серьёзная уязвимость типа «внедрение команд». Ошибка, отслеживаемая под идентификатором CVE-2025-53967, получила оценку 7.5 по шкале CVSS (высокий уровень опасности), поскольку позволяла удалённо выполнять произвольный код на машине разработчика, создавая значительный риск компрометации системы и утечки данных. Изображение носит иллюстративный характер
Проблема затрагивала сервер Framelink Figma MCP, который используется для интеграции с ассистентами для написания кода на базе искусственного интеллекта, таким как Cursor. Суть уязвимости заключалась в «проектном просчёте» в резервном механизме обработки запросов. Изначально сервер пытался получить контент через стандартный API
fetch. В случае неудачи он переключался на выполнение команды curl через системный вызов child_process.exec. Технический сбой происходил в файле
src/utils/fetch-with-retry.ts. При формировании команды curl сервер напрямую подставлял в строку вызова URL и заголовки, полученные от пользователя, без какой-либо проверки или очистки. Это позволяло злоумышленнику внедрять в эти данные метасимволы командной оболочки (например, |, >, &&) и выполнять произвольные системные команды с теми же привилегиями, что и у серверного процесса. В официальном уведомлении GitHub говорится: «Сервер конструирует и выполняет команды оболочки, используя непроверенные пользовательские данные непосредственно в строках командной строки. Это создает возможность для инъекции метасимволов оболочки...» Уязвимость была обнаружена и раскрыта в июле 2025 года специалистом по кибербезопасности Йоханном Силламом из компании Imperva, принадлежащей Thales.
Существовало несколько сценариев эксплуатации. Злоумышленник в той же локальной сети, что и жертва (например, в публичной Wi-Fi сети), мог отправить серию специально сформированных запросов на уязвимый MCP-сервер. Другой вектор атаки — DNS Rebinding, при котором жертву заманивали на вредоносный сайт, перенаправлявший запросы на локальный сервер разработчика. Третий сценарий предполагал косвенное внедрение команд через ИИ-ассистентов.
Атака разворачивалась в два этапа. Сначала клиент отправлял запрос
Initialize для получения идентификатора сессии mcp-session-id. Затем, используя этот идентификатор, клиент отправлял JSONRPC запрос с методом tools/call для вызова таких инструментов, как get_figma_data или download_figma_images, что активировало уязвимый код. Уязвимость была полностью исправлена 29 сентября 2025 года с выпуском
figma-developer-mcp версии 0.6.3. Разработчикам было рекомендовано избегать использования child_process.exec с любыми недоверенными данными. В качестве безопасной альтернативы предлагается использовать функцию child_process.execFile, которая разделяет команду и её аргументы, предотвращая интерпретацию метасимволов командной оболочкой. На фоне этой проблемы стала известна другая уязвимость, связанная с безопасностью инструментов на базе ИИ. Исследователи из компании FireTail обнаружили атаку типа «ASCII smuggling» в чат-боте Google Gemini. Эта техника позволяет обходить защитные фильтры, провоцировать нежелательные ответы, а также может привести к автоматизированной подмене личности и систематическому отравлению данных.
Несмотря на выявленные риски, Google приняла решение не исправлять данную уязвимость в Gemini. Аналогичная проблема также затрагивает большие языковые модели DeepSeek и Grok от компании xAI.
Опасность атаки «ASCII smuggling» значительно возрастает, когда подобные языковые модели интегрируются в корпоративные платформы, такие как Google Workspace. По оценке FireTail, эта проблема превращает «недостаток пользовательского интерфейса в потенциальный кошмар безопасности».
