透過命令行的攻擊顯示了Cursor的AI編碼代理中的一個令人擔憂的漏洞。一名攻擊者能夠將代理轉變為本地shell,並利用注入的命令。這一安全漏洞對使用人工智能工具的系統的安全構成了重大挑戰。開發者必須重新考慮整合這些技術的必要性,否則將危害其環境的完整性。對提示的微妙操控不僅暴露了關鍵缺陷,還將內部程序置於不斷變化的威脅之下。
Cursor中的漏洞發現
AimLabs的網絡安全研究人員報告了一個Cursor機器人輔助編碼軟件中的嚴重漏洞。該問題被識別為數據中毒攻擊,可能讓攻擊者獲得用戶設備上的遠程代碼執行權限。這是一個驚人的情況,強調了將AI整合進開發工具的增加風險。
漏洞時間表
AimLabs於7月7日向Cursor團隊報告了這一缺陷。針對Cursor 1.3版本的修正更新於次日上線。然而,所有早期版本仍然易受攻擊,這些攻擊利用來自外部來源的簡單提示注入。
漏洞運作方式
該漏洞的追蹤標識為CVE-2025-54135,當Cursor與Model Contest Protocol (MCP)伺服器交互時會發生。這使得該工具可以訪問各種外部工具,包括Slack和GitHub。然而,惡意的提示注入使得這一操控變得可能。
研究人員證明,Cursor的代理可以被有害指令劫持。只需使用一行代碼,攻擊者便可影響Cursor的行為,而該代理在主機設備上擁有開發者權限。這些命令的執行不需用戶同意。
通過Slack的操縱行為
在攻擊中,研究人員通過Slack直接發起了其提示注入,這些信息是Cursor通過MCP伺服器獲取的。此提示修改了Cursor的配置文件,添加了一個額外的伺服器及一個惡意啟動命令。一旦這些修改完成,Cursor立即執行這些有害指令。
對用戶的影響
這類漏洞突顯了在開發過程中集成AI系統的脆弱性。AI模型因不斷接收來自外部來源的命令而開啟了新的威脅通道。一份文檔或一個惡意文件可以使AI代理轉變為本地shell,這對安全構成重大風險。
AimLabs指出,許多開發者和組織在缺乏對風險的正確理解的情況下採用了AI系統。對外部實體指令敏感的AI代理,成為潛在攻擊的載體。
問題概述
儘管已經修復了這一漏洞,AimLabs指出這類缺陷在許多語言模型的運作中是固有的。安全問題往往源於AI代理如何解釋外部提示。這一漏洞構成一個持續出現的模式,與先前事件回響相關。
例如,類似的漏洞在不同情境中已經顯現。AI模型輸出執行與外部指令之間的關係引發了持續的風險在多個平台中存在。模型本身的特性加劇了這一濫用的暴露。
常見問題解答
Cursor的AI編碼代理遭遇命令行攻擊的影響是什麼?
這類攻擊可能使攻擊者能夠遠程控制用戶系統,執行惡意命令而不讓受害者發覺,從而危及數據和系統的安全。
攻擊是如何成功地將Cursor的AI編碼代理轉變為本地shell的?
該攻擊基於通過外部提示注入惡意命令在Cursor與Model Contest Protocol (MCP)伺服器之間的通信中,允許攻擊者操縱代理的行為。
哪些版本的Cursor受到該漏洞的影響?
在7月8日發布的1.3更新之前的所有版本仍然易受此攻擊,而最新版本修復了發現的問題。
在此攻擊中可以利用哪類數據?
攻擊者可以利用來自如Slack或GitHub等外部服務的數據,這些服務已整合到Cursor的開發環境中,以注入惡意指令。
如何避免未來成為這一攻擊的受害者?
至關重要的是,始終將軟件更新到最新版本,監控與外部服務的連接,並對AI編碼代理的可疑行為保持警惕。
應該採取哪些安全措施來保護使用Cursor的開發環境?
除了定期更新外,還建議實施嚴格的訪問控制,使用入侵檢測工具,並對用戶進行識別社會工程攻擊的培訓。
命令行攻擊是否是Cursor獨有的問題?
不,這類漏洞可能影響許多使用類似語言模型的系統,這些模型依賴於來自外部來源的指令,因此暴露出共同的安全風險。
