在人工智慧輔助程式碼編輯器日益普及的今天，如Cursor等工具已成為開發人員工作流程的核心。這些工具雖大幅提升效率，卻也將人工智慧模型、外部服務和開發環境之間的界線模糊化，無形中創造了一個新的、高風險的攻擊介面。近期的資安研究揭示，這些工具由於其結構上的設計缺陷，可能成為發動針對開發者憑證竊取攻擊的溫床。

根據最近一篇部落格文章報導，網路安全廠商Knostic 的研究人員發現了一種攻擊途徑，該途徑利用了Cursor 未能對開發環境特有的功能執行完整性檢查的缺陷。此漏洞允許注入JavaScript程式碼繞過Cursor自身的安全控制，並對整個AI輔助的智慧開發者生態系統構成威脅。

Knostic 透過一次攻擊示範了 Cursor 的安全漏洞：攻擊者將 Cursor 內部瀏覽器中的登入頁面替換為一個竊取憑證，並將使用者重定向到遠端攻擊者的頁面。Knostic濫用模型上下文協定（MCP）伺服器來利用其漏洞，從而使攻擊者在此場景中獲得了對環境的特權存取權。由於 MCP 伺服器也需要廣泛的權限才能運行，因此當MCP 伺服器被濫用時可能會造成災難性後果：組件可以修改自身、提升權限，並在用戶不知情的情況下獲得新功能。

Model Context Protocol (MCP) 旨在作為AI模型與外部工具（如GitHub、Jira或本地文件系統）之間統一的雙向通訊標準。然而，這種設計上的便利性卻帶來巨大的安全風險。許多公開暴露的MCP伺服器缺乏應有的身份驗證，甚至預設配置允許網路上的任何人執行任意命令，或是下載並運行軟體。當攻擊者成功利用MCP的漏洞時，他們不僅能竊取登入憑證，還能攔截工具呼叫、偽造合法伺服器、竊取OAuth令牌，並獲取開發者環境的特權。

對於開發者而言，Cursor環境中的程式碼執行繼承了集成開發環境（IDE）的極高權限，這意味著攻擊者若能注入JavaScript程式碼，就能獲得完整的檔案系統存取權、修改或替換IDE功能的能力，並在使用者不知情或重新啟動後繼續保有執行權限。這種特權濫用，使得單一的IDE漏洞能迅速升級為整個企業代碼供應鏈的風險。一旦攻擊者透過MCP漏洞竊取了開發者的AWS憑證、SSH密鑰或Git憑證，他們便繼承了該開發者對雲服務和代碼儲存庫的存取權限，導致大規模數據外洩和系統危害。

Knostic公司已告知Cursor公司他們將發布這項研究，但該公司強調，Cursor的開發人員無需修復任何缺陷；相反，此次攻擊暴露了該環境固有的不安全性。為了降低這些固有風險，使用這些工具的開發人員應該對他們添加的每個 MCP 和擴充功能進行三重檢查(註)，並找到特定專案的 GitHub 儲存庫來審查程式碼。這項研究為所有採用AI輔助開發工具的組織敲響了警鐘：必須正視這些工具帶來的內建供應鏈風險，並採取嚴格的存取控制和程式碼審查機制，以防範對開發環境特權的惡意劫持。

• 確認 AI 工具生成或下載的程式碼是否來自可信來源。
• 使用惡意程式碼掃描工具（如靜態分析、YARA 規則）檢測可疑片段。

• 對程式碼庫進行 Secret Scanning，避免 API key、密碼、OAuth token 被誤放入程式碼。
• 防止攻擊者利用這些憑證直接存取雲端服務或資料庫。

• 建立 軟體物料清單（SBOM），追蹤所有第三方套件與版本。
• 檢查是否存在已知漏洞（如 Log4j、OpenSSL 漏洞）。
• 確保更新與修補流程透明，降低供應鏈攻擊風險。