研究人员称之为 CurXecute 的漏洞存在于几乎所有版本的人工智能代码编辑器 Cursor 中，可以利用开发人员权限执行远程代码。安全问题现已确定为 CVE-2025-54135，并可通过向 AI 代理提供恶意提示来触发攻击者控制命令。

Cursor 集成开发环境（IDE）依靠 AI 代理来帮助开发人员更快、更有效地编写代码，允许他们使用模型上下文协议（MCP）与外部资源和系统连接。

根据研究人员的说法，黑客成功利用 curexecute 漏洞可能会打开勒索软件和数据盗窃事件的大门。

Prompt-injection 攻击

CurXecute 类似于 Microsoft 365 CoPilot 中的 echolak 漏洞，可以在没有任何用户交互的情况下窃取敏感数据。

人工智能网络安全公司 Aim Security 的研究人员在发现并了解了 EchoLeak 之后，了解到即使是本地人工智能代理也可能受到外部因素的影响，采取恶意行为。

Cursor IDE 支持 MCP 开放标准框架，该框架通过允许代理连接到外部数据源和工具来扩展代理的功能和上下文。

Aim Security 表示，MCP 把一个本地代理变成了一个利器，允许它启动任意服务器—— Slack、GitHub、数据库，并从自然语言调用他们的工具。研究人员提示，这可能会使代理暴露在外部的不可信数据中，从而影响其控制流。黑客可以利用这一点劫持代理的会话和权限，以用户的身份行事。

通过使用外部托管的提示注入，攻击者可以重写项目目录中的 ~/.cursor/mcp.json 文件，以启用任意命令的远程执行。

研究人员解释说，Cursor 不需要确认即可执行新的条目到 ~/.cursor/mcp.json 文件，并且对这些条目的建议编辑是实时的，即使用户拒绝它们也会触发命令的执行。

Aim Security 表示，为 Cursor 添加标准 MCP 服务器（如 Slack）可能会使代理暴露于不可信的数据。攻击者可以发布一个包含注入有效负载的恶意提示到公共频道 mcp.json 配置文件。

当受害者打开新的聊天并指示代理总结消息时，有效载荷（可能是一个 shell）会在未经用户批准的情况下立即降落在磁盘上。

攻击面是任何处理外部内容的第三方 MCP 服务器：问题跟踪器、客户支持信箱，甚至是搜索引擎。一份被污染的文档就可以将 AI 代理变成本地 shell。

Aim Security 的研究人员表示，curexecute 攻击可能导致勒索软件和数据盗窃事件，甚至可能通过幻觉操纵人工智能，从而破坏项目或实现 slopsquatting 攻击。

研究人员于 7 月私下向 Cursor 报告了 CurXecute，随后该供应商将一个补丁合并到主分支中。7 月 29 日，发布了 Cursor 1.3 版本，其中包含多项改进和对 CurXecute 的修复。Cursor 还发布了 CVE-2025-54135 的安全提醒，该漏洞的中等严重性评分为 8.6。安全人员建议用户下载并安装最新版本的 Cursor，以规避已知的安全风险。