Check Point: MCPoison демонстрирует новый класс атак на ИИ-IDE и LLM-инструменты разработки

Cursor Check Point MCPoison MCP удалённый доступ уязвимость ИИИ
Check Point: MCPoison демонстрирует новый класс атак на ИИ-IDE и LLM-инструменты разработки
Cursor Check Point MCPoison MCP удалённый доступ уязвимость ИИИ

Вайб-кодинг или троян — выбор за пользователем.

image

ИИ-редактор кода Cursor оказался уязвимым перед атакой, которую команда Check Point назвала MCPoison. Уязвимость позволяла удалённо выполнять произвольный код на компьютере разработчика, если тот использовал ранее одобренную конфигурацию в протоколе Model Context Protocol (MCP).

Уязвимость уже исправлена, однако специалисты подчёркивают, что случай с Cursor демонстрирует куда более широкий и серьёзный риск — уязвимость в доверительной модели, лежащей в основе всей экосистемы ИИ-инструментов для разработки.

Model Context Protocol , представленный Anthropic в ноябре 2024 года, задуман как открытый протокол для взаимодействия ИИ-агентов и больших языковых моделей ( LLM ) с внешними источниками данных и друг с другом. Он должен был упростить интеграцию ИИ в среду программирования, но вместо этого открыл новые векторы атак. Cursor, как один из популярных ИИ-инструментов для написания и отладки кода, активно использует MCP и потому стал удобной мишенью для анализа.

Как объяснили специалисты Check Point, основная проблема заключалась в механизме однократного одобрения конфигурации MCP. При первом добавлении сервера MCP пользователь одобряет его, и с этого момента Cursor считает все последующие изменения этой конфигурации безопасными, не требуя повторного подтверждения. Этим допущением и воспользовались авторы атаки.

В рамках демонстрации команда показала, как можно внедрить в общий репозиторий безвредную конфигурацию MCP, которая будет одобрена одним из участников проекта. Затем эта запись в конфигурационном файле заменяется на вредоносную — например, с командой, запускающей обратную оболочку. При следующем открытии проекта Cursor выполняет этот код в фоне, без каких-либо предупреждений пользователю.

Таким образом, злоумышленник может получить устойчивый удалённый доступ к машине жертвы, просто дождавшись момента, когда та откроет проект с изменённой конфигурацией MCP. Никаких дополнительных действий со стороны пострадавшего не требуется — достаточно лишь доверия, однажды оказанного системе.

В версии Cursor 1.3, выпущенной 29 июля, проблема устранена: теперь любое изменение конфигурации MCP требует отдельного подтверждения от пользователя. Это минимизирует риск скрытого внедрения вредоносного кода, особенно в условиях совместной разработки, где десятки разработчиков могут взаимодействовать с общими файлами и конфигурациями.

Несмотря на оперативное исправление, исследователи подчёркивают, что выявленная уязвимость — не исключение, а скорее предвестник новых атак. Речь идёт о глубоких проблемах доверия, валидации и безопасности в инструментах, использующих LLM и автоматизацию в программировании.

MCPoison — это не просто единичный баг , а симптом широкой архитектурной проблемы, при которой автоматизация и ИИ-интеграция опережают развитие базовой модели безопасности. В условиях, когда многие команды доверяют ИИ-средам ключевые этапы разработки, даже минимальный сбой в валидации может привести к полному захвату системы.