AI 程式碼編輯器 Cursor 中存在漏洞，讓遠端攻擊者利用間接提示注入問題來修改敏感的 MCP 檔案並執行任意程式碼。此漏洞編號為 CVE-2025-54135（CVSS 評分為 8.6），存在的原因在於 Cursor 在建立敏感的 MCP 檔案時無需使用者批准。此安全缺陷允許攻擊者透過間接提示注入寫入點檔案（例如 .cursor/mcp.json 檔案），然後在未經使用者批准的情況下觸發遠端程式碼執行 (RCE)。

據發現該漏洞並將其命名為CurXecute 的Aim Labs 稱，問題在於，在用戶接受或拒絕之前，建議的 mcp.json 編輯會立即到達磁碟，並且 Cursor 會執行它們。因此，攻擊者可以添加一個標準的 MCP 伺服器，將代理程式暴露給不受信任的數據，然後提供一個提示，指示代理改進 mcp.json，導致 Cursor 在修改後的檔案中啟動 MCP 伺服器，從而導致 RCE。

Cursor 1.3 版已修復此漏洞，但這並非近期解決的 AI 代理程式中唯一一個程式碼執行漏洞。另一個漏洞編號為 CVE-2025-54136（CVSS 評分為 7.2），可能允許攻擊者將無害的 MCP 設定檔與惡意命令交換，而不會觸發警告。

BackSlash 和 HiddenLayer 發現了另一個針對 Cursor 的間接提示注入攻擊。此攻擊與 Cursor 的自動運行模式有關，在這種模式下，命令會自動執行，無需請求權限。該攻擊已在 Cursor 1.3 版本中解決。使用者可以定義 AI 代理必須請求使用者權限才能運行的命令列表，但可以透過在 git 儲存庫的 Readme 中的註解區塊中包含提示注入來繞過此保護。
 

資料來源：https://www.securityweek.com/several-vulnerabilities-patched-in-ai-code-editor-cursor/