Hackers exploram servidor MCP desonesto para injetar código malicioso no navegador integrado do Cursor

Hackers exploram servidor MCP desonesto para injetar código malicioso no navegador integrado do Cursor

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no Cursor, o editor de código baseado em IA, que permite que invasores injetem código malicioso por meio de servidores Model Context Protocol (MCP) desonestos.

Ao contrário do VS Code, o Cursor não possui verificações de integridade em seus componentes de tempo de execução, tornando-o vulnerável a adulterações por meio do registro do servidor MCP.

O ataque funciona registrando um local Servidor MCP que contorna completamente os controles de segurança integrados do Cursor. Quando um desenvolvedor desavisado ativa um servidor MCP malicioso e reinicia o Cursor, o navegador fica comprometido.

Os invasores podem injetar código JavaScript arbitrário que sequestra o navegador interno, substituindo páginas de login legítimas por falsificações de coleta de credenciais que enviam credenciais roubadas para servidores remotos.

Como funciona o ataque

A vulnerabilidade decorre da falha do Cursor em verificar a integridade dos recursos específicos do Cursor durante o tempo de execução.

Pesquisadores criou uma prova de conceito modificando o código interno não verificado durante o registro do servidor MCP.

Esta modificação injeta código malicioso no navegador do Cursor sem exigir permissões especiais ou recálculo de soma de verificação.

O ataque é executado atribuindo document.body.innerHTML ao HTML controlado pelo invasor, reescrevendo efetivamente todo o corpo da página e apagando o estado anterior do DOM.

Essa técnica ignora totalmente as verificações de segurança no nível da IU. Uma vez ativo, cada cursor de guia do navegador abre e executa a carga injetada, criando uma superfície de ataque persistente.

O processo requer três etapas: habilitar o servidor MCP, reiniciar o Cursor para aplicar as alterações e executar o JavaScript malicioso no navegador incorporado.

Isso representa um ataque de avaliação de camada dupla que fornece aos invasores amplos recursos.

Esta vulnerabilidade demonstra um cenário de ameaças mais amplo, onde os agentes de codificação introduzem superfícies de ataque em expansão diariamente.

Os servidores MCP exigem amplas permissões para funcionar, o que significa que os servidores comprometidos podem se modificar, aumentar privilégios e obter novos recursos sem visibilidade do usuário.

Os invasores podem realizar qualquer ação que o usuário comprometido possa realizar, com controles mínimos implementados para mitigar o risco.

Os riscos emergentes da cadeia de abastecimento associados aos agentes de IA são significativos. Mesmo assim, as organizações mantêm visibilidade mínima sobre sua implantação e uso.

Servidores MCP, extensões e até mesmo prompts simples podem executar códigos em ambientes de usuários e redes corporativas sem detecção.

Os desenvolvedores devem verificar cuidadosamente qualquer servidor ou extensão MCP antes de usá-lo. Verifique o repositório GitHub do projeto e revise minuciosamente o código-fonte antes da instalação.

Nunca ative funcionalidades inquestionavelmente, especialmente recursos do MCP, e evite usar modos de execução automática que ignorar usuário supervisão.

Além disso, os desenvolvedores devem revisar manualmente o código gerado pelos agentes de IA antes de executar ações em navegadores incorporados.

As consequências da confiança equivocada nas ferramentas do desenvolvedor podem ir além das máquinas individuais, comprometendo redes corporativas inteiras.

Embora o Cursor tenha sido notificado antes da publicação, esta descoberta reforça que a máquina do desenvolvedor se tornou o novo perímetro de defesa cibernética.

As organizações devem implementar medidas abrangentes de segurança na cadeia de abastecimento, incluindo sistemas de reputação para ingestão segura e capacidades de gestão de postura, para se protegerem contra ameaças em evolução que visam ambientes de desenvolvimento alimentados por IA.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.