简介 

    新型 PoC 攻击证实：恶意模型上下文协议（MCP）服务器可向 Cursor 浏览器注入 JavaScript，甚至可能利用该 IDE 的权限执行系统级操作。恶意MCP服务器可劫持Cursor浏览器，窃密甚至接管系统！这一攻击暴露了AI开发工具链中集成的第三方协议服务器可能成为供应链攻击入口，通过代码提示功能向IDE内置浏览器注入恶意脚本，进而控制开发环境。

核心详情 

    该攻击技术原理基于MCP（Model Context Protocol）服务器在提供AI能力时，通过构造恶意响应数据包向Cursor IDE的嵌入式浏览器组件注入JavaScript代码。由于Cursor作为集成开发环境具有系统文件访问权限，注入的脚本可进一步执行系统命令、窃取项目密钥或植入后门。攻击验证显示，恶意MCP服务器可伪装成代码补全服务，在开发者使用AI辅助编程时触发漏洞。该PoC由安全研究人员在真实环境中复现，证实了从代码提示到系统权限提升的完整攻击链，凸显了AI开发工具生态中第三方协议集成的安全风险。

适用范围  

    适用于使用Cursor IDE进行软件开发的所有开发者，特别是集成第三方MCP服务器扩展AI功能的团队；涉及敏感代码或系统权限的开发场景；以及企业环境中部署AI编程助手的软件开发项目。

推荐措施 

    1、严格审核第三方MCP服务器来源，仅使用官方或可信来源的协议服务器；2、定期更新Cursor IDE至最新版本，关注安全补丁；3、在沙箱环境中运行含MCP服务的开发环境，限制系统权限；4、部署网络监控检测异常MCP通信流量。