Investigadores en ciberseguridad han descubierto una vulnerabilidad de alta severidad en el editor de código potenciado por inteligencia artificial Cursor, la cual podría permitir ejecución remota y persistente de código (RCE) en los sistemas de los desarrolladores. Esta falla, identificada como CVE-2025-54136 y apodada MCPoison por Check Point Research, se debe a cómo el software gestiona los archivos de configuración del protocolo Model Context Protocol (MCP).

¿Cuál es el riesgo?

La vulnerabilidad permite a un atacante modificar un archivo MCP previamente aprobado—ya sea localmente o dentro de un repositorio compartido en GitHub—para que sea reemplazado por código malicioso sin que el usuario reciba ninguna advertencia. Cursor sigue confiando en ese archivo en futuras sesiones incluso si fue modificado en secreto.

Así se desarrolla un ataque típico:

1. El atacante añade un archivo MCP aparentemente inofensivo (.cursor/rules/mcp.json) a un repositorio compartido.
2. Un colaborador descarga el código y aprueba la configuración en Cursor.
3. El atacante reemplaza el archivo por una versión maliciosa sin generar alertas.
4. Cada vez que la víctima abre Cursor, el código malicioso se ejecuta automáticamente.

Este fallo expone a las organizaciones a graves riesgos en la cadena de suministro de software, permitiendo el robo de datos o propiedad intelectual sin ser detectado.

Actualización disponible en la versión 1.3

Cursor solucionó esta vulnerabilidad en la versión 1.3, publicada a finales de julio de 2025. Ahora el sistema requiere que los usuarios vuelvan a aprobar manualmente cualquier archivo MCP cada vez que se modifique, cerrando así la brecha de seguridad.

Este fallo, junto con otras vulnerabilidades de ejecución remota reportadas por Aim Labs, Backslash Security y HiddenLayer, revela la fragilidad del modelo de confianza en entornos de desarrollo asistidos por IA. Todas las fallas conocidas han sido corregidas en la última versión.

Un Panorama de Riesgos Crecientes en Flujos de Trabajo con IA

A medida que la inteligencia artificial se integra cada vez más en los procesos de desarrollo, emergen nuevas amenazas. Investigaciones recientes y ataques reales han expuesto puntos ciegos en la seguridad de los ecosistemas de IA, en especial aquellos que utilizan modelos de lenguaje grande (LLMs).

Principales vectores de ataque relacionados con la IA

• Generación de código inseguro: Un estudio de más de 100 LLMs mostró que el 45% del código generado no pasó pruebas de seguridad básicas, incluyendo vulnerabilidades del Top 10 de OWASP. Java lideró con una tasa de fallo del 72%, seguido por C# (45%), JavaScript (43%) y Python (38%).
• Inyecciones de prompt a través de textos legales (LegalPwn): Los atacantes pueden ocultar instrucciones maliciosas en textos legales como políticas de privacidad o términos de uso, logrando que los LLMs clasifiquen código peligroso como seguro.
• Man-in-the-Prompt: Extensiones de navegador maliciosas pueden abrir pestañas en segundo plano, lanzar chatbots de IA e inyectar comandos ocultos sin requerir permisos especiales.
• Jailbreaks como Fallacy Failure: Estas técnicas engañan al modelo para que acepte premisas lógicamente inválidas y genere respuestas que normalmente estarían restringidas.
• Secuestro de sistemas multiagente (MAS): Permite a los atacantes ejecutar código arbitrario aprovechando las interacciones entre agentes de IA interconectados.
• Plantillas GGUF envenenadas: Al incrustar instrucciones maliciosas en archivos de plantilla utilizados durante la inferencia de modelos, los atacantes logran ejecutar código entre la entrada del usuario y la salida del modelo, saltándose protecciones. Plataformas como Hugging Face pueden ser vehículos de distribución.
• Envenenamiento de modelos en entornos de entrenamiento: Plataformas como SageMaker, MLFlow o Azure ML pueden ser comprometidas para robar modelos, alterar datos de entrenamiento o escalar privilegios.
• Aprendizaje subliminal: Un estudio de Anthropic reveló que los LLMs pueden aprender y transmitir características ocultas a través de datos generados, provocando comportamientos dañinos que no están explícitamente presentes en el texto.

La seguridad de la IA requiere un nuevo paradigma

A medida que los modelos de lenguaje se integran en copilotos empresariales, flujos de trabajo y herramientas de desarrollo, los jailbreaks y las manipulaciones del modelo se vuelven cada vez más peligrosos.

“Estos ataques no dependen de fallos tradicionales; burlan las defensas explotando el propio lenguaje y razonamiento que los modelos están diseñados para replicar”, advirtió Dor Sarig, de Pillar Security. “Proteger la IA requiere replantear completamente el modelo de confianza.”

Qué puedes hacer

• Actualiza Cursor a la versión 1.3 o superior.
• Audita archivos MCP compartidos en repositorios.
• Capacita a tu equipo de desarrollo sobre los riesgos en la cadena de suministro de IA.
• Implementa monitoreo en tiempo real para detectar actividad anómala en editores de código.

🛡️ A medida que las herramientas de IA se vuelven más poderosas, también se vuelven más vulnerables. Proteger tu stack de desarrollo con IA ya no es opcional—es esencial.

Fuente: https://thehackernews.com/2025/08/cursor-ai-code-editor-vulnerability.html