行業新聞與部落格

安全研究人員發現了一種可以透過操縱人工智慧開發環境中的安裝連結來執行程式碼的方法。

這項技術被 Proofpoint Threat Research 稱為 CursorJack，其核心是濫用 Cursor 整合開發環境 (IDE) 中的模型上下文協議 (MCP) 深度連結，在某些情況下，攻擊者可以利用該技術安裝惡意元件或執行任意命令。

根據截至 2026年1月19日的受控測試結果，該漏洞利用並非自動發生，而是取決於使用者互動和系統配置。在某些環境下，使用者只需點選一次精心構造的連結，並批准安裝提示，即可觸發該漏洞利用行為。

操縱 MCP 深度連結

Cursor 使用自定義 URL 方案來簡化 MCP 伺服器的安裝，將配置資料直接嵌入到點選時會啟動 IDE 的深度連結中。

Proofpoint 發現，可以透過社會工程手段利用這一過程，因為惡意連結可以偽裝成合法連結，但其中包含有害配置。

當用戶點選這些連結並批准安裝提示時，IDE 可能會以與使用者相同的許可權執行命令。由於安裝對話方塊不會區分可信來源和不可信來源，攻擊者可以將他們的惡意程式碼偽裝成常規工具。 

根據配置的不同，這既可以為原生代碼執行鋪平道路，也可以為遠端惡意伺服器的安裝鋪平道路。

對開發人員的安全隱患

該研究強調了開發者面臨的風險，他們通常擁有較高的許可權，並能訪問 API 金鑰、憑證和原始碼等敏感資產。雖然沒有發現零點選攻擊，但依賴使用者批准這一機制引入了人為因素，攻擊者可能會利用這些因素。

該研究還指出，現代開發工作流程，尤其是涉及人工智慧工具的工作流程，可能會使使用者養成不經仔細審查就接受提示的習慣。這種行為會增加使用者接觸看似例行公事卻具有欺騙性的安裝請求的風險。

研究人員建議採取以下幾種緩解策略：

• 引入可信 MCP 源的驗證機制

• 對命令執行實施更嚴格的許可權控制

• 提高對安裝引數的可見性

• 謹慎對待來源不明的深度連結。

Proofpoint 寫道：“MCP 生態系統需要將根本性的安全改進直接嵌入到框架架構中，而不是依賴額外的安全工具或使用者警惕性作為主要防禦手段。”

Proofpoint 在 GitHub 上釋出了自己的概念驗證程式碼 。研究人員透過 Cursor 的漏洞報告渠道通知了 Cursor 。