研究人员发现了一种名为CurXecute的严重漏洞该漏洞几乎影响所有版本的AI代码编辑器Cursor。攻击者可利用开发人员权限实现远程代码执行。目前该安全问题已被正式编号为CVE-2025-54135只需向AI代理输入精心设计的恶意提示即可触发攻击者控制的命令。The Good and Bad of Cursor AI Code EditorCursor集成开发环境IDE依托AI代理帮助开发人员更快、更高效地编写代码并通过模型上下文协议MCP与外部资源和系统实现无缝连接。根据研究人员分析黑客一旦成功利用CurXecute漏洞将可能打开勒索软件攻击和数据盗窃的大门。提示注入Prompt Injection攻击原理CurXecute漏洞与Microsoft 365 Copilot中的EchoLeak漏洞高度相似能够在无需任何用户交互的情况下窃取敏感数据。AI网络安全公司Aim Security的研究人员在发现EchoLeak后进一步认识到即使是本地AI代理也可能受外部因素影响而执行恶意行为。Prompt injection attacks as emerging critical risk in mobile AppSecCursor IDE支持MCP开放标准框架该框架允许AI代理连接外部数据源和工具大幅扩展其功能和上下文感知能力。Aim Security指出MCP将本地代理转变为强大“利器”使其能够启动任意服务器如Slack、GitHub、数据库并通过自然语言调用这些工具。然而这也让代理暴露于外部不可信数据中进而影响其控制流。黑客可借此劫持代理会话和权限以用户身份进行操作。通过外部托管的提示注入攻击者能够重写项目目录下的~/.cursor/mcp.json文件从而启用任意命令的远程执行。研究人员特别强调Cursor无需用户确认即可将新条目添加至该文件且对这些条目的建议编辑是实时生效的——即使用户拒绝命令仍会被触发执行。攻击面与潜在危害为Cursor添加标准MCP服务器如Slack可能使代理暴露于不可信数据。攻击者可在公共频道发布包含注入有效载荷的恶意提示。当受害者打开新聊天并要求代理总结消息时有效载荷可能是一个Shell脚本将立即、未经批准地写入磁盘。任何处理外部内容的第三方MCP服务器都可能成为攻击面包括问题跟踪器、客户支持邮箱甚至搜索引擎。一份被污染的文档就足以将AI代理转变为本地Shell。Aim Security的研究人员警告CurXecute攻击可能引发勒索软件入侵、数据盗窃事件甚至通过AI幻觉操纵项目或实施slopsquatting攻击。The Shift from Ransomware to Data Theft Extortion修复进展与用户建议研究人员已于7月私下向Cursor报告该漏洞随后供应商将修复补丁合并至主分支。7月29日Cursor 1.3版本正式发布其中包含多项改进并彻底修复了CurXecute漏洞。Cursor同时发布了CVE-2025-54135的安全提醒该漏洞严重性评分为8.6中等。安全专家强烈建议用户立即下载并安装最新版Cursor以有效规避已知安全风险。及时更新是保护开发环境的最简单、最有效措施。