提示注入导致代码执行：Cursor 代码编辑器曝出关键 MCP 漏洞

人工智能驱动的代码编辑器Cursor近日修复了两个高危漏洞，攻击者可利用这些漏洞在无需用户交互的情况下实现远程代码执行（RCE）。这两个漏洞编号为CVE-2025-54135和CVE-2025-54136，均涉及MCP（Multi-Context Prompting，多上下文提示）配置文件——这是控制工作区AI助手行为的强大机制。

CVE-2025-54135（CVSS评分8.6）：从提示注入到RCE的攻击链

第一个漏洞源于Cursor代理处理提示生成文件写入的方式。如果类似.cursor/mcp.json的文件不存在，代理可以在未经用户同意的情况下创建它。这形成了危险的攻击链：

第一步：注入恶意提示欺骗AI代理第二步：代理创建敏感的MCP配置文件第三步：该文件被配置为加载恶意MCP服务器

最终导致代码在受害者机器上静默执行。安全公告警告称："这可能允许代理在主机上写入敏感的MCP文件...并用于直接执行代码。"该漏洞影响Cursor 1.2.1及更早版本，已在1.3.9版本中修复。

CVE-2025-54136（CVSS评分7.2）：MCP信任绕过实现持久化RCE

第二个漏洞是MCP服务器配置中的信任滥用漏洞。一旦用户在共享的GitHub仓库中批准了MCP服务器，任何具有写入权限的人都可以静默地将服务器替换为恶意服务器，且无需重新批准。

安全公告指出："一旦协作者接受了无害的MCP，攻击者就可以静默地将其替换为恶意命令（例如calc.exe），而不会触发任何警告或重新提示。"这为协作代码库中的隐蔽、持久后门打开了大门，对企业团队和开源团队尤其危险。

公告进一步说明："如果攻击者拥有用户活动分支的写入权限...攻击者可以实现任意代码执行。"作为缓解措施，更新后的代理现在会在每次修改mcpServer条目时（而不仅仅是初次添加时）要求重新批准。