Новости Check Point: MCPoison демонстрирует новый класс атак на ИИ-IDE и LLM-инструменты разработки

[NewsMaker]

Вайб-кодинг или троян — выбор за пользователем.

---

---

ИИ-редактор кода Cursor оказался уязвимым перед атакой, которую команда Check Point Для просмотра ссылки Войди или Зарегистрируйся MCPoison. Уязвимость позволяла удалённо выполнять произвольный код на компьютере разработчика, если тот использовал ранее одобренную конфигурацию в протоколе Model Context Protocol (MCP).

Уязвимость уже исправлена, однако специалисты подчёркивают, что случай с Cursor демонстрирует куда более широкий и серьёзный риск — уязвимость в доверительной модели, лежащей в основе всей экосистемы ИИ-инструментов для разработки.

Для просмотра ссылки Войди или Зарегистрируйся , представленный Anthropic в ноябре 2024 года, задуман как открытый протокол для взаимодействия ИИ-агентов и больших языковых моделей ( Для просмотра ссылки Войди или Зарегистрируйся ) с внешними источниками данных и друг с другом. Он должен был упростить интеграцию ИИ в среду программирования, но вместо этого открыл новые векторы атак. Cursor, как один из популярных ИИ-инструментов для написания и отладки кода, активно использует MCP и потому стал удобной мишенью для анализа.

Как Для просмотра ссылки Войди или Зарегистрируйся специалисты Check Point, основная проблема заключалась в механизме однократного одобрения конфигурации MCP. При первом добавлении сервера MCP пользователь одобряет его, и с этого момента Cursor считает все последующие изменения этой конфигурации безопасными, не требуя повторного подтверждения. Этим допущением и воспользовались авторы атаки.

В рамках демонстрации команда показала, как можно внедрить в общий репозиторий безвредную конфигурацию MCP, которая будет одобрена одним из участников проекта. Затем эта запись в конфигурационном файле заменяется на вредоносную — например, с командой, запускающей обратную оболочку. При следующем открытии проекта Для просмотра ссылки Войди или Зарегистрируйся выполняет этот код в фоне, без каких-либо предупреждений пользователю.

Таким образом, злоумышленник может получить устойчивый удалённый доступ к машине жертвы, просто дождавшись момента, когда та откроет проект с изменённой конфигурацией MCP. Никаких дополнительных действий со стороны пострадавшего не требуется — достаточно лишь доверия, однажды оказанного системе.

В версии Cursor 1.3, Для просмотра ссылки Войди или Зарегистрируйся 29 июля, проблема устранена: теперь любое изменение конфигурации MCP требует отдельного подтверждения от пользователя. Это минимизирует риск скрытого внедрения вредоносного кода, особенно в условиях совместной разработки, где десятки разработчиков могут взаимодействовать с общими файлами и конфигурациями.

Несмотря на оперативное исправление, исследователи подчёркивают, что выявленная уязвимость — не исключение, а скорее предвестник новых атак. Речь идёт о глубоких проблемах доверия, валидации и безопасности в инструментах, использующих LLM и автоматизацию в программировании.

MCPoison — это не просто единичный Для просмотра ссылки Войди или Зарегистрируйся , а симптом широкой архитектурной проблемы, при которой автоматизация и ИИ-интеграция опережают развитие базовой модели безопасности. В условиях, когда многие команды доверяют ИИ-средам ключевые этапы разработки, даже минимальный сбой в валидации может привести к полному захвату системы.