官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
新型 PoC 攻击证实:恶意模型上下文协议(MCP)服务器可向 Cursor 浏览器注入 JavaScript,甚至可能利用该 IDE 的权限执行系统级操作。
AI Agent 与编程助手正在颠覆开发者的工作方式,同时也快速扩大了开发设备的受攻击面。最新案例显示:安全研究人员证实恶意模型上下文协议(MCP)服务器可向热门 AI 代码编辑器 Cursor 的内置浏览器功能注入恶意代码。
网络安全公司 Knostic.ai 研究人员在提交给 CSO 的报告中指出:"我们演示了单个恶意 MCP 服务器如何将 Cursor 内部浏览器中的登录页面替换为攻击者控制的钓鱼页面,窃取凭证并发送至远程攻击者。该技术还能完全攻陷受害者工作站。"
MCP 最初由 Anthropic 开发,旨在促进大语言模型(LLM)与外部数据源/应用间的通信以提升工作流上下文理解。如今它已成为开发 AI Agent 的关键组件,这些 Agent 通过调用外部工具实现任务自动化。该协议采用客户端-服务器架构:应用程序通过 MCP 服务器向 LLM 暴露功能,AI Agent 或应用则通过 MCP 客户端连接这些服务。微软 Visual Studio Code 及其衍生 IDE(如 Cursor 和 Windsurf)均原生支持 MCP 服务器集成。
针对 Cursor 及其他 VS Code 系 IDE 的攻击
Cursor 本质上是 VS Code 的分支版本,通过添加代码转型为 AI 辅助编程工具。Knostic 研究员 Dor Munis 指出,与会对自身文件进行完整性校验的 VS Code 不同,Cursor 缺乏该机制,导致任何代码修改都不会触发用户警告。
由于基于 Electron 框架(使用 Node.js 和 Chrome 的 Blink 浏览器引擎),这些 IDE 内置 JavaScript 解释器,并拥有文件系统访问和任务执行的高权限。Knostic 近期发布的 PoC 攻击通过恶意扩展向运行中的 IDE 注入恶意 JavaScript 来操控界面。而新披露的 MCP 服务器攻击则进一步扩大了攻击面——恶意服务器可向 Cursor 新增的内置浏览器注入代码,实时替换显示内容(如伪造登录页面),且 URL 保持不变。
防御建议
企业需通过策略和访问控制严格审核开发者使用的 IDE 扩展与 MCP 服务器,如同审查 npm/PyPI 等包注册表的依赖项。Knostic 团队警告:
- 务必审查项目 GitHub 仓库代码
- 禁用自动运行模式(YOLO 模式)
- 切勿盲目启用 MCP 功能
- 始终人工核验 AI Agent 生成的代码
Cursor 官方文档同时建议开发者:
- 仅从可信来源安装 MCP 服务器
- 限制服务器可访问的数据与 API
- 使用权限受限的 API 密钥
- 审计关键集成点的服务器代码
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)