CurXecute漏洞：AI代码编辑器Cursor的远程代码执行风险

研究人员发现了一种名为CurXecute的严重漏洞，该漏洞几乎影响所有版本的AI代码编辑器Cursor。攻击者可利用开发人员权限实现远程代码执行。目前，该安全问题已被正式编号为CVE-2025-54135，只需向AI代理输入精心设计的恶意提示，即可触发攻击者控制的命令。

The Good and Bad of Cursor AI Code Editor

Cursor集成开发环境（IDE）依托AI代理，帮助开发人员更快、更高效地编写代码，并通过模型上下文协议（MCP）与外部资源和系统实现无缝连接。

根据研究人员分析，黑客一旦成功利用CurXecute漏洞，将可能打开勒索软件攻击和数据盗窃的大门。

提示注入（Prompt Injection）攻击原理CurXecute漏洞与Microsoft 365 Copilot中的EchoLeak漏洞高度相似，能够在无需任何用户交互的情况下窃取敏感数据。

AI网络安全公司Aim Security的研究人员在发现EchoLeak后，进一步认识到：即使是本地AI代理，也可能受外部因素影响而执行恶意行为。

Prompt injection attacks as emerging critical risk in mobile AppSec

Cursor IDE支持MCP开放标准框架，该框架允许AI代理连接外部数据源和工具，大幅扩展其功能和上下文感知能力。Aim Security指出，MCP将本地代理转变为强大“利器”，使其能够启动任意服务器（如Slack、GitHub、数据库），并通过自然语言调用这些工具。然而，这也让代理暴露于外部不可信数据中，进而影响其控制流。黑客可借此劫持代理会话和权限，以用户身份进行操作。

通过外部托管的提示注入，攻击者能够重写项目目录下的~/.cursor/mcp.json文件，从而启用任意命令的远程执行。研究人员特别强调：Cursor无需用户确认即可将新条目添加至该文件，且对这些条目的建议编辑是实时生效的——即使用户拒绝，命令仍会被触发执行。

攻击面与潜在危害为Cursor添加标准MCP服务器（如Slack）可能使代理暴露于不可信数据。攻击者可在公共频道发布包含注入有效载荷的恶意提示。当受害者打开新聊天并要求代理总结消息时，有效载荷（可能是一个Shell脚本）将立即、未经批准地写入磁盘。

任何处理外部内容的第三方MCP服务器都可能成为攻击面，包括问题跟踪器、客户支持邮箱甚至搜索引擎。一份被污染的文档，就足以将AI代理转变为本地Shell。

Aim Security的研究人员警告，CurXecute攻击可能引发勒索软件入侵、数据盗窃事件，甚至通过AI幻觉操纵项目，或实施slopsquatting攻击。

The Shift from Ransomware to Data Theft Extortion

修复进展与用户建议研究人员已于7月私下向Cursor报告该漏洞，随后供应商将修复补丁合并至主分支。7月29日，Cursor 1.3版本正式发布，其中包含多项改进并彻底修复了CurXecute漏洞。Cursor同时发布了CVE-2025-54135的安全提醒，该漏洞严重性评分为8.6（中等）。

安全专家强烈建议：用户立即下载并安装最新版Cursor，以有效规避已知安全风险。及时更新是保护开发环境的最简单、最有效措施。