/
代码注入 关键字列表
AI编程工具Cursor存在远程代码执行漏洞
Check Point研究人员在AI编程工具Cursor中发现远程代码执行漏洞,攻击者可通过篡改已批准的MCP配置来污染开发环境。该漏洞被称为"MCPoison",源于Cursor对MCP配置的一次性批准机制,一旦初始配置获得批准,后续修改无需重新验证。攻击者可先提交无害命令获得批准,随后悄悄替换为恶意命令。Cursor已发布1.3版本修复此问题,要求每次MCP服务器条目修改都需用户批准。
白皮书
京公网安备 11010802021500号
