行业新闻与博客

安全研究人员发现了一种可以通过操纵人工智能开发环境中的安装链接来执行代码的方法。

这项技术被 Proofpoint Threat Research 称为 CursorJack，其核心是滥用 Cursor 集成开发环境 (IDE) 中的模型上下文协议 (MCP) 深度链接，在某些情况下，攻击者可以利用该技术安装恶意组件或执行任意命令。

根据截至 2026年1月19日的受控测试结果，该漏洞利用并非自动发生，而是取决于用户交互和系统配置。在某些环境下，用户只需点击一次精心构造的链接，并批准安装提示，即可触发该漏洞利用行为。

操纵 MCP 深度链接

Cursor 使用自定义 URL 方案来简化 MCP 服务器的安装，将配置数据直接嵌入到点击时会启动 IDE 的深度链接中。

Proofpoint 发现，可以通过社会工程手段利用这一过程，因为恶意链接可以伪装成合法链接，但其中包含有害配置。

当用户点击这些链接并批准安装提示时，IDE 可能会以与用户相同的权限执行命令。由于安装对话框不会区分可信来源和不可信来源，攻击者可以将他们的恶意代码伪装成常规工具。 

根据配置的不同，这既可以为本地代码执行铺平道路，也可以为远程恶意服务器的安装铺平道路。

对开发人员的安全隐患

该研究强调了开发者面临的风险，他们通常拥有较高的权限，并能访问 API 密钥、凭证和源代码等敏感资产。虽然没有发现零点击攻击，但依赖用户批准这一机制引入了人为因素，攻击者可能会利用这些因素。

该研究还指出，现代开发工作流程，尤其是涉及人工智能工具的工作流程，可能会使用户养成不经仔细审查就接受提示的习惯。这种行为会增加用户接触看似例行公事却具有欺骗性的安装请求的风险。

研究人员建议采取以下几种缓解策略：

• 引入可信 MCP 源的验证机制

• 对命令执行实施更严格的权限控制

• 提高对安装参数的可见性

• 谨慎对待来源不明的深度链接。

Proofpoint 写道：“MCP 生态系统需要将根本性的安全改进直接嵌入到框架架构中，而不是依赖额外的安全工具或用户警惕性作为主要防御手段。”

Proofpoint 在 GitHub 上发布了自己的概念验证代码 。研究人员通过 Cursor 的漏洞报告渠道通知了 Cursor 。