Los investigadores de seguridad cibernética han revelado fallas de seguridad de alta resistencia en los cursores del editor de códigos impulsados por la inteligencia artificial (IA) que podrían conducir a la ejecución de código remoto.
La vulnerabilidad rastreada como CVE-2025-54136 (puntaje CVSS: 7.2) se ha llamado McPoison mediante investigaciones de punto de control debido al hecho de que el software explota hábitos de una manera que maneja los cambios para modelar la configuración de un servidor de protocolo de contexto (MCP).
«La vulnerabilidad de Cursor AI permite a un atacante lograr la ejecución de código remoto y persistente modificando un archivo de configuración de MCP ya confiable en un repositorio de GitHub compartido o editar el archivo localmente en la máquina de destino», dijo un aviso publicado la semana pasada.
«Si un colaborador acepta un MCP inofensivo, el atacante puede intercambiarlo en silencio por un comando malicioso (por ejemplo, calc.exe) sin activar o reconfigurar una advertencia».
MCP es un estándar abierto desarrollado por la humanidad, que permite que los modelos de lenguaje a gran escala (LLMS) interactúen con herramientas, datos y servicios externos de manera estandarizada. Fue introducido por una compañía de IA en noviembre de 2024.
Para cada punto de control, CVE-2025-54136 se refiere a cómo un atacante puede cambiar el comportamiento de la configuración de MCP después de que el usuario lo haya aprobado en el cursor. Específicamente, expanda de la siguiente manera:
Agregue una configuración MCP de aspecto benigno («.Cursor/Rules/McP.Json») al repositorio compartido.
El problema subyacente aquí es que una vez que se aprueba una configuración, el cursor confía en las futuras ejecuciones indefinidamente, incluso si se cambia. El éxito de la explotación de vulnerabilidad no solo expone a las organizaciones a los riesgos de la cadena de suministro, sino que también abre la puerta al robo de datos y propiedad intelectual sin su conocimiento.
Tras la divulgación responsable del 16 de julio de 2025, este problema se aborda por un cursor en la versión 1.3 publicado a fines de julio de 2025 solicitando la aprobación del usuario cada vez que se cambia una entrada en el archivo de configuración de MCP.
«Este defecto revela las debilidades críticas del modelo de confianza detrás del entorno de desarrollo asistido por AI-AI y plantea los intereses de los equipos que integran LLM y la automatización en sus flujos de trabajo», dijo Checkpoint.
El desarrollo se produce días después del laboratorio AIM, la seguridad de la barra de barra de barra de barra y el escondite expuso múltiples debilidades a las herramientas de IA. Esto podría haberse abusado de obtener la ejecución del código remoto y evitar la protección basada en Dennilist. También ha sido parcheado en la versión 1.3.
Los hallazgos son consistentes con la mayor adopción de IA en los flujos de trabajo comerciales, incluido el uso de LLM para la generación de código, ataques de la cadena de suministro de IA, código inseguro, adicción al modelo, infusión rápida, alucinaciones, reacciones inapropiadas y fugas de datos, difundiendo la superficie de ataque.
Más de 100 pruebas LLM sobre la capacidad de escribir el código Java, Python, C# y JavaScript revelaron que el 45% de las muestras de código generadas fallaron las pruebas de seguridad, introduciendo las 10 topes vulnerabilidades de seguridad de OWASP. Java lideró con una tasa de falla de seguridad del 72%, seguido de C# (45%), JavaScript (43%) y Python (38%). Un ataque llamado Legalpwn reveló que puede usar su descargo de responsabilidad legal, términos de servicio o política de privacidad como un nuevo vector de inyección rápida. Hacemos hincapié en que los componentes de texto, que a menudo son legales y a menudo se pasan por alto, no sugieren que proporcionen un código inestable al resaltar los componentes de texto que a menudo se pasan por alto para activar el comportamiento no deseado en LLM. Un ataque llamado un aviso que abre una nueva pestaña del navegador en segundo plano, lanza un chatbot de IA, inyecta indicaciones maliciosas para extraer datos en secreto y utiliza una extensión de navegador deshonesto que no tiene una autoridad especial para comprometer la integridad del modelo. Esto aprovecha el hecho de que los complementos del navegador con el acceso de script al modelo de objeto de documento (DOM) pueden leer o escribir directamente desde el aviso de AI. Opera LLM para aceptar instalaciones lógicamente inválidas y genera salida restringida, engañando así al modelo y rompiendo sus propias reglas. Un ataque llamado secuestro de MAS que manipula el flujo de control de los sistemas de sistemas de sistemas de múltiples agentes (MAS) en los dominios, los medios y la topología al armarse la naturaleza del agente de los sistemas de IA. Las plantillas de formato unificado de generación GPT (GGUF) posionados son plantillas que se dirigen a las tuberías de inferencia del modelo AI al incrustar las instrucciones maliciosas dentro de los archivos de plantilla de chat que se ejecutan durante la fase de inferencia para comprometer la salida. Al colocar un ataque entre la validación de entrada y la salida del modelo, el enfoque es despreciable y pasa por alto las barandillas AI. Cuando los archivos GGUF se distribuyen a través de servicios como Face, el ataque explota el modelo de confianza de la cadena de suministro para activar el ataque. Los atacantes pueden apuntar a entornos de entrenamiento de aprendizaje automático (ML) como MLFlow, Amazon SageMaker y Azure ML para comprometer la confidencialidad del modelo, la integridad, la disponibilidad y, en última instancia, entrenar los movimientos externos, la escalada de privilegios y el robo y la adicción de los modelos. Los estudios humanos han revelado que LLM puede aprender rasgos ocultos durante la destilación. Este es un fenómeno conocido como aprendizaje subliminal, en el que los modelos envían características de comportamiento a través de datos generados que no están relacionados con esas características, lo que puede conducir a un comportamiento inconsistente y dañino.
«Como los modelos de lenguaje a gran escala están profundamente integrados en flujos de trabajo de agentes, capulotas empresariales y herramientas de desarrolladores, los riesgos posan de estos jailbreaks aumentan significativamente», dice Dor Sarig de Pillar Security. «La mayoría de los jailbreaks pueden propagarse a través de una cadena contextual, infectando un componente de IA, lo que lleva a fallas lógicas en cascada en los sistemas interconectados».
«Estos ataques destacan que la seguridad de IA necesita un nuevo paradigma porque evita las salvaguardas tradicionales sin depender de fallas arquitectónicas o CVE. Las vulnerabilidades están en el idioma y están diseñadas para emular los modelos».
Source link
