行業新聞與博客

安全研究人員發現了一種可以通過操縱人工智能開發環境中的安裝鏈接來執行代碼的方法。

這項技術被 Proofpoint Threat Research 稱為 CursorJack，其核心是濫用 Cursor 集成開發環境 (IDE) 中的模型上下文協議 (MCP) 深度鏈接，在某些情況下，攻擊者可以利用該技術安裝惡意組件或執行任意命令。

根據截至 2026年1月19日的受控測試結果，該漏洞利用並非自動發生，而是取決於用户交互和系統配置。在某些環境下，用户只需點擊一次精心構造的鏈接，並批准安裝提示，即可觸發該漏洞利用行為。

操縱 MCP 深度鏈接

Cursor 使用自定義 URL 方案來簡化 MCP 服務器的安裝，將配置數據直接嵌入到點擊時會啓動 IDE 的深度鏈接中。

Proofpoint 發現，可以通過社會工程手段利用這一過程，因為惡意鏈接可以偽裝成合法鏈接，但其中包含有害配置。

當用户點擊這些鏈接並批准安裝提示時，IDE 可能會以與用户相同的權限執行命令。由於安裝對話框不會區分可信來源和不可信來源，攻擊者可以將他們的惡意代碼偽裝成常規工具。 

根據配置的不同，這既可以為本地代碼執行鋪平道路，也可以為遠程惡意服務器的安裝鋪平道路。

對開發人員的安全隱患

該研究強調了開發者面臨的風險，他們通常擁有較高的權限，並能訪問 API 密鑰、憑證和源代碼等敏感資產。雖然沒有發現零點擊攻擊，但依賴用户批准這一機制引入了人為因素，攻擊者可能會利用這些因素。

該研究還指出，現代開發工作流程，尤其是涉及人工智能工具的工作流程，可能會使用户養成不經仔細審查就接受提示的習慣。這種行為會增加用户接觸看似例行公事卻具有欺騙性的安裝請求的風險。

研究人員建議採取以下幾種緩解策略：

• 引入可信 MCP 源的驗證機制

• 對命令執行實施更嚴格的權限控制

• 提高對安裝參數的可見性

• 謹慎對待來源不明的深度鏈接。

Proofpoint 寫道：“MCP 生態系統需要將根本性的安全改進直接嵌入到框架架構中，而不是依賴額外的安全工具或用户警惕性作為主要防禦手段。”

Proofpoint 在 GitHub 上發佈了自己的概念驗證代碼 。研究人員通過 Cursor 的漏洞報告渠道通知了 Cursor 。