Специалисты по кибербезопасности из Aim Labs выявили опасную уязвимость в популярной среде разработки Cursor IDE, использующей искусственный интеллект для помощи программистам. Брешь, получившая кодовое обозначение CurXecute, присвоен высокий уровень опасности. Уязвимость открывает путь к скрытому удалённому выполнению произвольного кода на машинах разработчиков без их ведома или согласия.
Эксперты предупреждают о серьёзных последствиях для быстрорастущего сообщества пользователей AI-инструментов, поскольку атака позволяет злоумышленникам получить полный контроль над системами. Идентификатор уязвимости зарегистрирован как CVE-2025-54135 с оценкой риска 8.6 баллов по шкале CVSS, что соответствует высокой степени критичности. Проблема затрагивает все версии программного обеспечения до релиза 1.3, выпущенного для устранения угрозы.
Механизм эксплуатации основан на манипуляции Model Context Protocol (MCP) - ключевом компоненте Cursor IDE, обеспечивающем интеграцию с внешними источниками данных. Уязвимость возникает из-за автоматического выполнения содержимого конфигурационного файла ~/.cursor/mcp.json без запроса подтверждения у пользователя. Когда AI-агент предлагает изменения в этом файле, правки мгновенно записываются на диск и активируются. Злоумышленники используют многоэтапную атаку: сначала внедряют вредоносные инструкции во внешние ресурсы, подключённые через MCP-серверы, такие как каналы Slack, репозитории GitHub или системы отслеживания ошибок. Когда разработчик взаимодействует с этими источниками через естественно-языковой интерфейс Cursor, отравленные данные убеждают ИИ-агента модифицировать конфигурационный файл, добавляя команды, контролируемые злоумышленниками.
Особую опасность представляет скрытность эксплуатации уязвимости. Команды выполняются в фоновом режиме без визуальных индикаторов или предупреждений, оставляя разработчиков в неведении о компрометации их систем. Агент Cursor IDE работает с привилегиями уровня разработчика, что позволяет атакующим устанавливать вредоносное ПО, красть конфиденциальные данные или получать доступ к корпоративным сетям. Поверхность атаки расширяется за счёт поддержки любых сторонних MCP-серверов, обрабатывающих внешний контент, включая поисковые системы, системы технической поддержки и платформы совместной работы. Исследователи подчёркивают, что традиционные периметры безопасности становятся неэффективными, когда ИИ-агенты получают возможность выполнять локальные команды на основе данных из ненадёжных внешних источников.
Открытие CurXecute последовало за недавним обнаружением Aim Labs уязвимости EchoLeak в Microsoft 365 Copilot, что указывает на системную проблему безопасности ИИ-ассистентов. Оба случая демонстрируют фундаментальные риски, возникающие при предоставлении агентам ИИ расширенных привилегий без надёжной изоляции исполняемой среды. Инцидент подтверждает, что интеграция внешних и локальных вычислительных сред через естественно-языковые интерфейсы создаёт принципиально новые векторы атак, требующие переосмысления подходов к безопасности.
Разработчики Cursor IDE оперативно отреагировали на уведомление, выпустив патчированную версию 1.3 в течение 24 часов после получения информации об уязвимости. Однако все предыдущие релизы остаются подверженными эксплуатации, что делает немедленное обновление критически важным для миллионов пользователей платформы. Эксперты фиксируют тревожную тенденцию: по мере роста популярности инструментов на базе искусственного интеллекта аналогичные уязвимости могут обнаруживаться в других платформах, где ИИ-агенты обладают правами на изменение системных конфигураций или выполнение кода. Отсутствие строгих ограничений выполнения команд и автоматизация процессов без интерактивного подтверждения создают идеальные условия для скрытых атак, способных парализовать разработку в масштабах целых организаций.
