提示注入导致代码执行：Cursor 代码编辑器曝出关键 MCP 漏洞

人工智能驱动的提示代码编辑器Cursor近日修复了两个高危漏洞，攻击者可利用这些漏洞在无需用户交互的注入执行情况下实现远程代码执行（RCE）  。这两个漏洞编号为CVE-2025-54135和CVE-2025-54136，导致代码代码均涉及MCP（Multi-Context Prompting  ，编辑多上下文提示）配置文件——这是器曝控制工作区AI助手行为的源码下载强大机制。

CVE-2025-54135（CVSS评分8.6） ：从提示注入到RCE的出关攻击链

第一个漏洞源于Cursor代理处理提示生成文件写入的方式 。如果类似.cursor/mcp.json的漏洞文件不存在
，代理可以在未经用户同意的建站模板提示情况下创建它 。这形成了危险的注入执行攻击链：

第一步：注入恶意提示欺骗AI代理第二步：代理创建敏感的MCP配置文件第三步：该文件被配置为加载恶意MCP服务器

最终导致代码在受害者机器上静默执行 。安全公告警告称："这可能允许代理在主机上写入敏感的导致代码代码MCP文件...并用于直接执行代码。"该漏洞影响Cursor 1.2.1及更早版本，云计算编辑已在1.3.9版本中修复 。器曝

CVE-2025-54136（CVSS评分7.2）：MCP信任绕过实现持久化RCE

第二个漏洞是出关MCP服务器配置中的信任滥用漏洞
 。一旦用户在共享的漏洞GitHub仓库中批准了MCP服务器 ，任何具有写入权限的香港云服务器提示人都可以静默地将服务器替换为恶意服务器 ，且无需重新批准 。

安全公告指出 ："一旦协作者接受了无害的MCP，攻击者就可以静默地将其替换为恶意命令（例如calc.exe） ，而不会触发任何警告或重新提示 。"这为协作代码库中的亿华云隐蔽 、持久后门打开了大门，对企业团队和开源团队尤其危险。

公告进一步说明："如果攻击者拥有用户活动分支的写入权限...攻击者可以实现任意代码执行
。"作为缓解措施 ，更新后的模板下载代理现在会在每次修改mcpServer条目时（而不仅仅是初次添加时）要求重新批准 。