La implementación MCP de la herramienta de codificación Vibe Cursor permite la ejecución persistente de código

Más evidencia de que la IA amplía la superficie de ataque.

La implementación MCP de la herramienta de codificación Vibe Cursor permite la ejecución persistente de código

Autor de la entrada:Fernando
Categoría de la entrada:Resto del Mundo
Última modificación de la entrada:agosto 7, 2025

Investigadores de Check Point descubrieron un error de ejecución remota de código en Cursor, la popular herramienta de IA para codificación de vibraciones. Este error podría permitir a un atacante corromper entornos de desarrollo modificando en secreto una configuración del Protocolo de Contexto de Modelo (MCP) previamente aprobada, sustituyéndola silenciosamente por un comando malicioso sin necesidad de solicitarlo al usuario.

La buena noticia: Cursor lanzó una actualización (versión 1.3) el 29 de julio que corrige el problema y requiere la aprobación del usuario cada vez que se modifica una entrada del servidor MCP. Por lo tanto, si utiliza el editor de código basado en IA, actualícelo para ejecutar la última versión y asegúrese de no otorgar a los atacantes acceso completo a su equipo cada vez que abra Cursor.

Si bien Cursor solucionó el fallo, Check Point cree que la vulnerabilidad pone de manifiesto un importante riesgo para la cadena de suministro de IA.

«El fallo expone una debilidad crítica en el modelo de confianza de los entornos de desarrollo asistidos por IA, lo que aumenta la responsabilidad de los equipos que integran LLM y automatización en sus flujos de trabajo», escribió el equipo de investigación de la empresa de seguridad en una entrada de blog el martes.

MCP es un protocolo de código abierto que Anthropic introdujo en noviembre de 2024 para permitir que los sistemas basados en IA, como agentes y grandes modelos de lenguaje (LLM), se conecten a fuentes de datos externas e interactúen entre sí. Si bien MCP facilita estos procesos, también abre la puerta a una nueva superficie de ataque y a las amenazas de seguridad relacionadas, que los investigadores han descubierto con entusiasmo desde su lanzamiento.

Cursor es un entorno de desarrollo integrado (IDE) de IA que utiliza LLM para facilitar la escritura y depuración de código. Además, requiere cierto nivel de confianza, especialmente en entornos multiusuario que utilizan código compartido, archivos de configuración y complementos basados en IA.

«Nos propusimos evaluar si el modelo de confianza y validación para la ejecución de MCP en Cursor tenía en cuenta adecuadamente los cambios a lo largo del tiempo, especialmente en los casos en que una configuración previamente aprobada se modifica posteriormente», explicaron los investigadores de Check Point Andrey Charikov, Roman Zaikin y Oded Vanunu en un informe técnico también publicado el martes.

En escenarios de desarrollo colaborativo, estos cambios son comunes, y cualquier fallo en la validación podría provocar la inyección de comandos, la ejecución de código o una vulnerabilidad persistente, añadió el trío.

Como probablemente se pueda suponer, los investigadores encontraron dicho fallo de validación y demostraron cómo se podía abusar de él alterando una configuración de servidor MCP ya aprobada para activar la ejecución de código malicioso cada vez que se abre un proyecto en Cursor.

El equipo denominó la vulnerabilidad «MCPoison» y, en esencia, se reduce a la aprobación única de Cursor para las configuraciones de MCP. Una vez que Cursor aprueba una configuración inicial, confía en todas las modificaciones futuras sin necesidad de una nueva validación.

Un atacante podría explotar fácilmente esta confianza añadiendo una configuración MCP benigna con un comando inofensivo a un repositorio compartido, esperando a que alguien la apruebe y modificando posteriormente la misma entrada para ejecutar un comando malicioso, que se ejecutará silenciosamente en el equipo de la víctima cada vez que se vuelva a abrir Cursor.

El equipo de Check Point también publicó una prueba de concepto que demuestra este tipo de ejecución remota persistente de código. Primero, se aprueba un comando MCP no malicioso y luego se reemplaza con una carga útil de shell inversa, obteniendo así acceso al equipo de la víctima cada vez que abre el proyecto Cursor.

Esta vulnerabilidad revelada es solo la primera de una serie de fallos que los investigadores de Check Point descubrieron en plataformas de IA orientadas al desarrollo, según nos informan. «A medida que las herramientas de codificación asistida por IA y los entornos integrados con LLM continúan dando forma a los flujos de trabajo de software modernos, CPR publicará nuevos hallazgos que resaltan riesgos pasados por alto y ayudan a elevar el nivel de seguridad en este ecosistema emergente», escribió el equipo.

Etiquetas: Ai, Andrey Charikov, Anthropic, Blog, Check Point, Codificación de Vibraciones, CPR, Cursor, Entorno de Desarrollo Integrado, IA, IDE, Inteligencia Artificial, LLM, MCP, MCPoison, Oded Vanunu, Protocolo de Contexto de Modelo, Repositorio, Roman Zaikin, Shell Inversa, Vive Cursor

También podría gustarte

La Fundación Nacional de Ciencias de EE.UU. financiará una supercomputadora de 20 millones de dólares

G42, con respaldo de Abu Dabi, busca diversificar sus proveedores de chips para el campus de IA, informa Semafor

Reino Unido podría obligar a Google a cambiar sus clasificaciones de búsqueda y ofrecer alternativas