人工智慧(AI)的整合搭配,對於軟體開發生產力的提升,扮演的角色越來越重要,一旦存在相關漏洞,就有可能讓開發者在編寫程式碼的過程裡,帶入攻擊者的惡意內容,或是進一步對開發環境上下其手。
例如,最近資安業者Aim Security揭露的高風險漏洞CurXecute,就是這種型態的例子。這個漏洞出現在AI整合式開發環境(IDE)Cursor,一旦攻擊者成功利用,就有機會遠端執行任意程式碼(RCE),CVSS風險評為8.6。他們向Cursor開發團隊通報此事,Cursor於7月8日發布1.3.9版修補,並將漏洞登記為CVE-2025-54135列管。
這個漏洞的發現,與6月Aim Security揭露的Microsoft 365 Copilot零點擊漏洞EchoLeak有關,當時他們對相關問題的理解,在於:只要提供AI機器人不受信任的內容,就有機會在無須使用者互動的情況下,挾持大型語言模型(LLM)的內部迴圈,從而洩露模型能夠看到的資料。
基於這樣的認知,他們對Cursor進行調查,由於該IDE工具支援模型內容通訊協定(Model Context Protocol,MCP),可藉由自然語言,存取Slack主機、GitHub儲存庫,或其他的資料庫,將本機代理程式變成像瑞士刀的萬用工具。然而,MCP會將代理程式曝露於外部及不受信任的資料而產生危險,影響代理程式的流程控制,一旦攻擊者挾持代理程式的連線階段(Session),就有機會藉由代理程式的權限冒充使用者。
Aim Security認為,CurXecute發生的原因牽涉三種層面,分別是MCP自動執行的機制、即時建議的編輯內容,以及提示注入引發RCE的途徑。由於只要發現~/.cursor/mcp.json出現新的內容,Cursor就會在沒有使用者確認的情況下執行,再加上代理程式建議修改mcp.json的內容已存放於磁碟,即便使用者否決還是會照樣執行,因此攻擊者只要透過Slack等MCP支援的外部平臺注入惡意資料,就有機會操控Cursor的AI代理程式,從而執行任意命令。
為了讓更多人了解這個漏洞,Aim Security也透過影片展示概念驗證(PoC),並指出當中呈現的攻擊面,源自於處理外部內容的任意第三方MCP伺服器,包括:問題追蹤工具、客戶支援信箱,甚至是搜尋引擎,而且,只要一個中毒的文件,就有機會將AI代理程式變成本機的Shell。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
