Cursor 1.3 紧急发布

Cursor 1.3 紧急发布：修复 8.6 分“CurXecute”高危漏洞，开发者需立即升级！

日期：2025-08-04

---

**核心提示**  
8 月 1 日，安全团队 Aim Labs 公开披露 AI 编程工具 Cursor 存在编号为 CVE-2025-54135 的“CurXecute”严重漏洞，评分 8.6/10，几乎影响所有历史版本。攻击者可通过篡改第三方 MCP 服务器（如 Slack、GitHub）上的提示词，远程注入恶意代码并窃取开发者权限。官方已于 7 月 29 日发布 1.3 版本完成修复，强烈建议用户立即升级。

---

**漏洞原理与攻击场景**  
Cursor 借助 Model Context Protocol（MCP）协议让 AI 智能体读取外部资源，实现“沉浸式编程”。但 MCP 在扩展能力的同时，也暴露了对不可信数据的处理风险。  
- 攻击者只需在可被 Cursor 访问的第三方平台（问题跟踪器、客服收件箱、搜索引擎等）发布一条恶意提示；  
- 当开发者打开聊天并要求 AI 总结内容时，恶意载荷即被写入项目目录下的 `~/.cursor/mcp.json`；  
- 随后远程代码被执行，攻击者取得开发者系统权限，全程无需用户交互。  

Aim Security 公布的演示视频显示，仅一次“总结 Slack 消息”操作，便可在后台静默写入 shell 脚本。

---

**时间线回顾**  
- 7 月 7 日：安全人员向 Cursor 团队私下报告漏洞；  
- 7 月 8 日：补丁合并入主分支；  
- 7 月 29 日：Cursor 1.3 正式发布，彻底封堵漏洞；  
- 8 月 1 日：BleepingComputer 公开披露细节。

---

**官方回应与升级指引**  
Cursor 官方将漏洞定性为“中等严重”（8.6 分），并发布安全公告：  
> “该漏洞影响几乎所有历史版本，请所有用户立即升级至 1.3 或更高版本，避免已知风险。”

升级方式：打开 Cursor → Settings → Check for Updates，或直接下载最新安装包覆盖安装。

---

**背景延伸：Cursor 的崛起与隐忧**  
- 2021 年由 4 位 MIT 工程师创立，基于 VS Code 深度改造；  
- 2025 年 5 月完成 9 亿美元 C 轮融资，估值 90 亿美元，付费用户超 36 万，年收入 5 亿美元，位列“全球 AI Agent 收入榜”第一；  
- 功能口号“vibe coding”被特斯拉前 AI 总监 Andrej Karpathy 评价为“碾压 GitHub Copilot”。  

此次事件再次提醒：当 AI 工具深度接入外部生态时，提示注入（Prompt Injection）将成为新的高危攻击面。

---

**安全建议**  
1. 立即升级至 Cursor 1.3+；  
2. 检查所有项目目录下的 `mcp.json`，删除来源不明的 MCP 配置；  
3. 对第三方 MCP 服务器进行最小权限访问控制；  
4. 在 CI/CD 流程中加入对 `mcp.json` 变更的强制审计。

---

**结语**  
AI 编程的效率革命正在加速，但安全底线必须同步升级。Cursor 的快速响应值得肯定，开发者也需时刻保持警惕：工具链越智能，攻击面越复杂——更新与安全意识同样重要。