Check Point研究人员在热门AI编程工具Cursor中发现了一个远程代码执行漏洞,攻击者可以通过秘密修改此前已被批准的模型上下文协议(MCP)配置来毒化开发者环境,在用户无感知的情况下将其替换为恶意命令。
好消息是:Cursor在7月29日发布了修复该问题的更新版本(1.3版),现在每次MCP服务器条目被修改时都需要用户批准。因此,如果你在使用这款AI驱动的代码编辑器,请务必更新到最新版本,确保不会在每次打开Cursor时给恶意分子提供对你机器的完全访问权限。
尽管Cursor已经修复了该漏洞,但Check Point认为这一漏洞突显了AI供应链的重大风险。该安全公司的研究团队在周二的博客中写道:"该漏洞暴露了AI辅助开发环境背后信任模型的关键弱点,这为将大语言模型和自动化集成到工作流程中的团队提高了风险等级。"
MCP是Anthropic在2024年11月推出的开源协议,允许基于AI的系统(如智能体和大语言模型)连接到外部数据源并相互交互。虽然MCP确实让这些过程变得更容易,但它也打开了全新攻击面的大门,带来了相关安全威胁。自推出以来,研究人员一直在愉快地挖掘其中的漏洞。
Cursor是一个AI集成开发环境(IDE),使用大语言模型帮助编写和调试代码,它还需要一定程度的信任,特别是在使用共享代码、配置文件和基于AI插件的多用户环境中。
Check Point研究人员Andrey Charikov、Roman Zaikin和Oded Vanunu在周二发布的技术报告中表示:"我们着手评估Cursor中MCP执行的信任和验证模型是否正确考虑了随时间的变化,特别是在之前批准的配置后来被修改的情况下。"
这三人补充说:"在协作开发场景中,此类更改很常见——验证中的任何缺口都可能导致命令注入、代码执行或持续性攻击。"
正如你可能猜到的那样,研究人员确实发现了这样的验证缺口,并展示了如何通过修改已批准的MCP服务器配置来滥用它,从而在每次在Cursor中打开项目时触发恶意代码执行。
研究团队将该漏洞命名为"MCPoison",它本质上归结为Cursor对MCP配置的一次性批准机制。一旦Cursor批准了初始配置,它就会信任所有未来的修改,而不需要任何新的验证。
攻击者可以通过向共享存储库添加带有无害命令的良性MCP配置,等待有人批准它,然后更改同一条目使其执行恶意命令,从而轻松利用这种信任。每次重新打开Cursor时,恶意命令就会在受害者的机器上静默执行。
Check Point团队还发布了概念验证,演示了这种类型的持续远程代码执行,首先获得对非恶意MCP命令的批准,然后将其替换为反向Shell载荷,从而在受害者每次打开Cursor项目时获得对其机器的访问权限。
据悉,这次漏洞披露只是Check Point研究人员在面向开发者的AI平台中发现的一系列漏洞中的第一个。这三人写道:"随着AI辅助编码工具和大语言模型集成环境继续塑造现代软件工作流程,CPR将发布更多发现,突显被忽视的风险,并帮助提高这个新兴生态系统的安全标准。"
所以请继续关注即将到来的更多AI工具安全问题。
Q&A
Q1:MCPoison漏洞是什么?它是如何工作的?
A:MCPoison是Check Point研究人员在Cursor中发现的远程代码执行漏洞。它利用了Cursor对MCP配置的一次性批准机制——一旦初始配置被批准,所有未来修改都会被信任而无需新验证。攻击者可以先添加无害的MCP配置获得批准,然后偷偷替换为恶意命令,在用户每次打开项目时静默执行。
Q2:如何防护MCPoison漏洞攻击?
A:用户应立即将Cursor更新到1.3版本或更高版本。该更新修复了漏洞,现在每次MCP服务器条目被修改时都需要用户重新批准。此外,在协作开发环境中要特别注意共享配置文件的变化,避免盲目批准MCP配置修改。
Q3:MCP协议为什么会带来安全风险?
A:MCP是Anthropic推出的开源协议,允许AI系统连接外部数据源并相互交互。虽然它简化了这些过程,但也创造了全新的攻击面。在多用户协作环境中,共享的配置文件和AI插件需要一定程度的信任,而验证机制的缺口可能导致命令注入、代码执行或持续性攻击。
