Los investigadores de ciberseguridad han revelado una defecto de seguridad de reincorporación severidad en el cursor de código de código de inteligencia fabricado (IA) que podría dar lado a la ejecución de código remoto.
La vulnerabilidad, rastreada como CVE-2025-54136 (puntaje CVSS: 7.2), ha sido famoso en código McPoison Mediante la investigación del punto de control, conveniente al hecho de que explota una peculiaridad en la forma en que el software maneja las modificaciones para modelar las configuraciones del servidor del protocolo de contexto (MCP).
«Una vulnerabilidad en Cursor AI permite a un atacante ganar la ejecución de código remoto y persistente modificando un archivo de configuración de MCP ya confiable en el interior de un repositorio de GitHub compartido o editar el archivo localmente en la máquina del objetivo», dijo Cursor en un aviso publicado la semana pasada.
«Una vez que un colaborador acepta un MCP inofensivo, el atacante puede intercambiarlo en silencio por un comando bellaco (por ejemplo, calc.exe) sin activar ninguna advertencia o retornar a promplir».
MCP es un habitual franco desarrollado por antrópico que permite que los modelos de jerga grandes (LLM) interactúen con herramientas, datos y servicios externos de forma estandarizada. Fue introducido por la compañía AI en noviembre de 2024.
CVE-2025-54136, por punto de comprobación, tiene que ver con cómo es posible que un atacante altere el comportamiento de una configuración de MCP a posteriori de que un afortunado lo haya consentido en el interior del cursor. Específicamente, se desarrolla de la ulterior forma –
- Agregue una configuración MCP de aspecto desprendido («.Cursor/Rules/McP.Json») a un repositorio compartido
- Espere a que la víctima tire del código y lo apruebe una vez en el cursor
- Reemplace la configuración de MCP con una carga útil maliciosa, por ejemplo, inicie un script o ejecute una puerta trasera
- Conquistar la ejecución del código persistente cada vez que la víctima abre el cursor
El problema fundamental aquí es que una vez que se aprueba una configuración, el cursor lo confía indefinidamente para futuras ejecuciones, incluso si se ha cambiado. La explotación exitosa de la vulnerabilidad no solo expone a las organizaciones a los riesgos de la prisión de suministro, sino que todavía abre la puerta a los datos y al robo de propiedad intelectual sin su conocimiento.
Posteriormente de la divulgación responsable el 16 de julio de 2025, el problema ha sido abordado por Cursor en la traducción 1.3 arrojado a fines de julio de 2025 al requerir la aprobación del afortunado cada vez que se modifica una entrada en el archivo de configuración de MCP.
«La defecto expone una pasión crítica en el maniquí de confianza detrás de los entornos de incremento asistidos por AI-AI, aumentando las apuestas para los equipos que integran LLM y la automatización en sus flujos de trabajo», dijo Check Point.
El incremento se produce días a posteriori de los laboratorios de AIM, la seguridad de la mostrador inalentable y el HiddenLayer expuso múltiples debilidades en la utensilio AI que podrían haberse abusado de obtener la ejecución de código remoto y evitar sus protecciones basadas en denylist. Incluso han sido reparados en la traducción 1.3.
Los hallazgos todavía coinciden con la creciente admisión de IA en flujos de trabajo comerciales, incluido el uso de LLM para la procreación de códigos, ampliar la superficie de ataque a varios riesgos emergentes como ataques de la prisión de suministro de IA, código inseguro, envenenamiento de modelos, inyección rápida, alucinaciones, respuestas inapropiadas y fuga de datos de datos –
- Una prueba de más de 100 LLM por su capacidad de escribir Java, Python, C#y JavaScript Code ha incompatible que el 45% de las muestras de código generadas fallaron las pruebas de seguridad e introdujeron las 10 topes de seguridad de OWASP. Java lideró con una tasa de defecto de seguridad del 72%, seguida de C# (45%), JavaScript (43%) y Python (38%).
- Un ataque llamado LegalPwn ha revelado que es posible usar las renuncias legales, los términos de servicio o las políticas de privacidad como un nuevo vector de inyección de inmediato, destacando cómo las instrucciones maliciosas pueden integrarse en el interior de los componentes textuales de los componentes textuales para desencadenar un comportamiento inintenido en el sistema de incremento.
- Un ataque llamado Man-in-the-ProMPT que emplea una extensión de navegador deshonesto sin permisos especiales para desobstruir una nueva pestaña del navegador en el fondo, difundir un chatbot Ai y inyectarles indicaciones maliciosas para extraer datos encubiertos y compromiso de la integridad del maniquí. Esto aprovecha el hecho de que cualquier complemento de navegador con llegada de secuencias de comandos al maniquí de objeto de documento (DOM) puede descifrar o escribir en el mensaje de IA directamente.
- Una técnica de jailbreak citación defecto enredo que manipula una LLM para que acepte premisas lógicamente inválidas y hace que produzca resultados restringidos de otra forma, engañando así al maniquí para que rompa sus propias reglas.
- Un ataque llamado secuestro de MAS que manipula el flujo de control de un sistema de agente múltiple (MAS) para ejecutar código bellaco infundado en dominios, medios y topologías armando la naturaleza agente de los sistemas de IA.
- Una técnica llamadas plantillas de formato unificado generado por GPT (GGUF) injurioso que se dirige a la tubería de inferencia del maniquí AI al grabar instrucciones maliciosas en el interior de los archivos de plantilla de chat que se ejecutan durante la grado de inferencia para comprometer las panorama. Al colocar el ataque entre la nervio de entrada y la salida del maniquí, el enfoque es astuto y omite las barandillas AI. Con archivos Gguf distribuidos a través de servicios como abrazar Face, el ataque explota el maniquí de confianza de la prisión de suministro para desencadenar el ataque.
- Un atacante puede apuntar a los entornos de entrenamiento de estudios instintivo (ML) como MLFlow, Amazon SageMaker y Azure ML para comprometer la confidencialidad, la integridad y la disponibilidad de los modelos, lo que finalmente conduce al movimiento colateral, la ascenso de privilegios, así como los datos de capacitación y el robo de modelos y la intoxicación.
- Un estudio realizado por antrópico ha descubierto que los LLM pueden cultivarse características ocultas durante la destilación, un engendro llamado estudios subliminal, que hace que los modelos transmita los rasgos de comportamiento a través de datos generados que parecen completamente no relacionados con esos rasgos, lo que puede conducir a la desalineación y un comportamiento perjudicial.
«A medida que los modelos de idiomas grandes se integran profundamente en los flujos de trabajo de los agentes, los copilotos empresariales y las herramientas de desarrolladores, el aventura planteado por estos jailbreaks aumenta significativamente», dijo Dor Sarig de Pillar Security. «Los jailbreaks modernos pueden propagarse a través de cadenas contextuales, infectando un componente de IA y conduciendo a fallas lógicas en cascada en los sistemas interconectados».
«Estos ataques destacan que la seguridad de IA requiere un nuevo molde, ya que evitan las salvaguardas tradicionales sin subordinarse de fallas arquitectónicas o CVE. La vulnerabilidad se encuentra en el jerga y razonamiento que el maniquí está diseñado para porfiar».
