یک آسیبپذیری که محققان آن را CurXecute نامیدهاند، در تقریبا تمام نسخههای ویرایشگر کد مبتنی بر هوش مصنوعی Cursor IDE وجود دارد و میتواند برای اجرای کد از راه دور با امتیازات توسعهدهنده اکسپلویت شود. این نقص امنیتی اکنون با شناسه CVE-2025-54135 شناخته میشود و با درخواست یک پرامپت مخرب از عامل هوش مصنوعی، میتوان دستورات تحت کنترل مهاجم را فعال کرد.
محیط Cursor IDE به عوامل هوش مصنوعی وابسته است تا به توسعهدهندگان کمک کند سریعتر و کارآمدتر کد بنویسند و از طریق پروتکل MCP با منابع و سیستمهای خارجی ارتباط برقرار کنند. به گفته محققان، یک هکر که با موفقیت از آسیبپذیری CurXecute سوءاستفاده کند، میتواند راه را برای حوادث باجافزار و سرقت داده باز کند.
حمله تزریق پرامپت در Cursor IDE
CurXecute شبیه آسیبپذیری EchoLeak در Microsoft 365 Copilot است که میتوانست برای سرقت دادههای حساس بدون تعامل کاربر استفاده شود. پس از کشف و درک EchoLeak، محققان شرکت امنیت سایبری Aim Security دریافتند که حتی یک عامل هوش مصنوعی محلی نیز میتواند تحت تأثیر عوامل خارجی برای اقدامات مخرب قرار گیرد.
Cursor IDE از چارچوب استاندارد باز MCP پشتیبانی میکند که قابلیتها و زمینه(context) عامل را با امکان اتصال به منابع داده و ابزارهای خارجی گسترش میدهد. محققان Aim Security اظهار داشتند که MCP یک عامل محلی را به ابزاری همهکاره تبدیل میکند که امکان راهاندازی سرورهای دلخواه مانند Slack، GitHub و پایگاههای داده و فراخوانی ابزارهای آنها از طریق زبان طبیعی را فراهم میسازد. با این حال، محققان هشدار میدهند که این قابلیت میتواند عامل را در معرض خطر قرار دهد؛ زیرا دادههای خارجی غیرقابلاعتماد میتوانند جریان کنترلی آن را تحت تأثیر قرار دهند. یک هکر میتواند از این طریق نشست و امتیازات عامل را ربوده و از طرف کاربر عمل کند.
با استفاده از تزریق پرامپت میزبانیشده خارجی، یک مهاجم میتواند فایل ~ /.cursor/mcp.json در دایرکتوری پروژه را بازنویسی کند تا اجرای دستورات دلخواه از راه دور را فعال کند. محققان توضیح میدهند که Cursor برای اجرای ورودیهای جدید به فایل ~ /.cursor/mcp.json نیازی به تأیید ندارد و ویرایشهای پیشنهادی بهصورت زنده هستند و حتی اگر کاربر آنها را رد کند، دستور اجرا میشود.
Aim Security در گزارشی که با BleepingComputer به اشتراک گذاشته، اعلام کرد که افزودن یک سرور MCP استاندارد، مانند Slack به Cursor میتواند عامل را در معرض دادههای غیرقابلاعتماد قرار دهد. یک مهاجم میتواند در یک کانال عمومی پیامی با پیلود تزریق برای فایل تنظیمات mcp.json منتشر کند. وقتی قربانی چت جدید را باز کرده و به عامل دستور میدهد پیامها را خلاصه کند، پیلود مخرب، که میتواند یک شل باشد، فورا و بدون نیاز به تایید کاربر روی دیسک قرار میگیرد.
محققان Aim Security اظهار داشتند که سطح حمله شامل هر سرور MCP شخص ثالثی است که محتوای خارجی را پردازش میکند. محتوای خارجی شامل ردیابهای issueها، صندوقهای ورودی پشتیبانی مشتری یا حتی موتورهای جستجو است. یک سند آلوده میتواند عامل هوش مصنوعی را به یک شل محلی تبدیل کند.
محققان Aim Security اعلام کردند که حمله CurXecute ممکن است به حوادث باجافزار و سرقت داده یا حتی دستکاری هوش مصنوعی از طریق هذیانگویی منجر شود که میتواند پروژه را خراب کند یا حملات slopsquatting را امکانپذیر سازد.
انتشار پچ و توصیه امنیتی
محققان این آسیبپذیری را در ۷ ژوئیه بهصورت خصوصی به Cursor گزارش دادند و روز بعد، فروشنده یک پچ را در شاخه اصلی ادغام کرد. در ۲۹ ژوئیه، نسخه ۱.۳ Cursor با چندین بهبود و رفع CurXecute منتشر شد. Cursor همچنین یک مشاوره امنیتی برای CVE-2025-54135 منتشر کرد که امتیاز شدت متوسط ۸.۶ را دریافت کرد.
به کاربران توصیه میشود آخرین نسخه Cursor را دانلود و نصب کنند تا از خطرات امنیتی شناختهشده در امان بمانند.
