AI驱动的集成开发环境（IDE）Cursor近日被曝出存在一个名为CurXecute的严重安全漏洞（CVE-2025-54135），该漏洞几乎影响所有版本。攻击者可以利用此漏洞注入恶意提示，使AI智能体执行远程代码，从而获取开发者权限。Cursor IDE通过Model Context Protocol（MCP）协议连接外部资源，这一特性在扩展AI能力的同时，也使其暴露在不信任的外部数据中，可能被攻击者劫持代理会话。此攻击手法与Microsoft 365 CoPilot的“EchoLeak”漏洞类似。攻击者可通过外部托管服务注入恶意提示，篡改MCP配置文件，实现任意命令的远程执行。该漏洞已在Cursor 1.3版本中修复，官方敦促用户尽快升级。

🛡️ Cursor AI编程工具存在严重的CurXecute安全漏洞（CVE-2025-54135），该漏洞影响几乎所有版本，允许攻击者注入恶意提示，使AI智能体执行远程代码，进而获取开发者权限。

💻 Cursor IDE依赖Model Context Protocol（MCP）协议连接外部资源，虽然这扩展了AI智能体的能力，但也使其面临来自不信任外部数据的风险，攻击者可能借此劫持代理会话，冒用用户权限执行操作。

🔗 攻击手法类似于Microsoft 365 CoPilot的“EchoLeak”漏洞，攻击者可以通过外部托管的服务（如Slack、GitHub）发布恶意提示，当用户指令AI智能体总结消息时，恶意载荷就能被写入磁盘，实现任意命令的远程执行。

⚠️ 研究人员于7月7日私下报告了该漏洞，Cursor团队迅速响应，于7月29日发布了1.3版本进行修复。官方已将此漏洞评为中等严重性（8.6分），并强烈建议所有用户立即更新到最新版本以规避风险。

IT之家 8 月 2 日消息，科技媒体 bleepingcomputer 昨日（8 月 1 日）发布博文，报道称让程序员“氪金”上瘾的 AI 工具 Cursor 存在 CurXecute 严重漏洞，几乎影响所有版本，官方已于 7 月 29 日发布 1.3 版本修复，并敦促开发者尽快升级。

该漏洞追踪编号为 CVE-2025-54135，可以被攻击者利用注入恶意提示，让 AI 智能体执行远程代码，并获得开发者权限。

Cursor 集成开发环境（IDE）依赖 AI 智能体帮助开发者提高编码效率，并通过 Model Context Protocol（MCP）协议连接外部资源。

然而，研究人员警告，MCP 虽然扩展了 AI 智能体的能力，但也让其暴露在不信任的外部数据中，可能影响其控制流程，攻击者可借此劫持代理会话，冒用用户权限执行操作。

攻击手法与 Microsoft 365 CoPilot 的“EchoLeak”漏洞类似，后者可无用户交互地窃取敏感数据。在 Cursor 中，攻击者可通过外部托管的服务注入恶意提示，篡改项目目录下的~/.cursor/ mcp.json 文件，从而实现任意命令的远程执行。

Aim Security 团队创建的演示视频显示，攻击者可利用第三方 MCP 服务器（如 Slack、GitHub）发布恶意提示，在受害者打开聊天并指令 AI 智能体总结消息后，恶意载荷（如 shell）会直接写入磁盘。攻击面包括任何处理外部内容的第三方 MCP 服务器，如问题跟踪器、客服收件箱甚至搜索引擎。IT之家附上演示视频如下：

研究人员于 7 月 7 日私下报告漏洞，Cursor 次日即合并补丁至主分支。7 月 29 日发布的版本 1.3 包含多项改进和修复。Cursor 同时发布安全公告，将漏洞评为中等严重性（8.6 分），敦促用户立即更新至最新版本，以避免已知风险。