Grave falla en Cursor AI permite ejecución remota de código y expone debilidades

Investigadores de ciberseguridad de Check Point Research han revelado una vulnerabilidad de alta gravedad en el popular editor de código basado en inteligencia artificial (IA), Cursor. La falla, identificada como CVE-2025-54136 con una puntuación CVSS de 7.2, podría ser explotada para lograr ejecución remota y persistente de código en dispositivos afectados.

La vulnerabilidad ha sido apodada MCPoison, ya que aprovecha una peculiaridad en el manejo de configuraciones del Model Context Protocol (MCP), un estándar abierto desarrollado por Anthropic que permite a los grandes modelos de lenguaje (LLM) comunicarse de forma estructurada con herramientas externas.

¿Cómo funciona MCPoison y por qué es tan peligrosa?

Según el informe de Check Point, el ataque MCPoison permite a un actor malicioso insertar una configuración MCP aparentemente inofensiva en un repositorio compartido (por ejemplo, en GitHub). Una vez que un colaborador o desarrollador aprueba esta configuración en Cursor, el atacante puede modificarla posteriormente e incluir una carga útil maliciosa, como un script, backdoor o la ejecución de un binario (por ejemplo, calc.exe), sin generar ninguna advertencia al usuario.

Este ataque se produce en cuatro pasos:

• El atacante añade un archivo MCP benigno (.cursor/rules/mcp.json) a un repositorio.
• La víctima aprueba la configuración desde Cursor sin detectar anomalías.
• Posteriormente, el archivo MCP es reemplazado con un comando malicioso.
• Cada vez que el usuario abre Cursor, el código malicioso se ejecuta de forma persistente.

El problema central radica en que Cursor confía indefinidamente en las configuraciones MCP ya aprobadas, incluso si han sido modificadas después de su validación inicial. Esta confianza ciega permite al atacante establecer persistencia y comprometer entornos de desarrollo sin levantar alertas.

Respuesta y solución al CVE-2025-54136

Tras la divulgación responsable realizada el 16 de julio de 2025, los desarrolladores de Cursor actuaron con rapidez para corregir el fallo. En la versión 1.3, lanzada a finales de julio, se incluyó una nueva función de seguridad que exige una nueva aprobación del usuario cada vez que un archivo MCP es modificado, incluso si ya había sido aprobado previamente.

Además, esta actualización también corrigió otras vulnerabilidades adicionales descubiertas por Aim Labs, HiddenLayer y Backslash Security, relacionadas con eludir listas negras y ejecutar código malicioso mediante manipulaciones en la interacción con IA.

Nuevos vectores de ataque contra entornos con IA

El hallazgo de MCPoison se suma a una creciente ola de ataques dirigidos a sistemas de desarrollo impulsados por IA, exponiendo una nueva superficie de ataque que combina vectores tradicionales con riesgos emergentes en la cadena de suministro de IA y los LLM. A continuación, algunos de los ataques más destacados recientemente:

1. LegalPwn: Inyección rápida a través de políticas y textos legales
Aprovecha políticas de privacidad o términos de servicio para insertar instrucciones maliciosas ocultas que inducen al modelo a clasificar código inseguro como confiable, facilitando la ejecución de shells inversos o comandos dañinos.

2. Man-in-the-Prompt: Secuestro silencioso vía navegador
Utiliza extensiones de navegador sin permisos elevados para inyectar mensajes maliciosos en IA basadas en navegador, comprometiendo la integridad del modelo sin activar medidas de seguridad visibles.

3. Fallacy Failure: Jailbreak mediante premisas lógicas inválidas
Manipula el razonamiento de un LLM con proposiciones lógicamente incorrectas para que ignore sus restricciones internas y genere contenido o acciones prohibidas.

4. Secuestro de sistemas MAS (Multi-Agent Systems)
Dirigido a arquitecturas multiagente, permite redirigir flujos de control y ejecutar código malicioso distribuido a través de distintos componentes de IA interconectados.

5. GGUF Poisoning: Instrucciones maliciosas en plantillas de chat
Inserta comandos peligrosos en archivos GGUF (GPT-Generated Unified Format) distribuidos en plataformas como Hugging Face, aprovechando la confianza en la cadena de suministro para eludir validaciones.

6. Ataques a plataformas ML como SageMaker y MLFlow
Aprovechan debilidades en entornos de entrenamiento como Amazon SageMaker, Azure ML o MLFlow para comprometer modelos desde su fase inicial, introduciendo envenenamiento de datos, escalada de privilegios y movimiento lateral.

7. Aprendizaje subliminal en LLM
Un estudio de Anthropic reveló que durante procesos de destilación, los modelos pueden adquirir rasgos no deseados de forma subliminal, generando respuestas inesperadas o desviadas.

Impacto de la IA insegura en el desarrollo de software

Una prueba realizada sobre más de 100 grandes modelos de lenguaje (LLM) evaluó su capacidad para escribir código en Java, Python, JavaScript y C#. Los resultados fueron alarmantes:

• 45% del código generado contenía vulnerabilidades según el top 10 de OWASP.
• Java lideró en fallas de seguridad (72%), seguido por C# (45%), JavaScript (43%) y Python (38%).

Esto demuestra que, aunque las IA como copilotos pueden acelerar el desarrollo, también introducen riesgos significativos cuando no se evalúan adecuadamente las salidas o se implementan sin controles de seguridad robustos.

En fin, la seguridad en entornos de desarrollo con IA necesita un nuevo enfoque

La vulnerabilidad CVE-2025-54136 (MCPoison) en Cursor AI es una advertencia contundente sobre los riesgos reales que enfrentan los desarrolladores al integrar LLM en sus flujos de trabajo sin contar con validaciones profundas, controles de integridad o políticas de revisión automatizadas.

Tal como lo indicó Dor Sarig de Pillar Security, los jailbreaks modernos no dependen de fallas estructurales, sino del lenguaje mismo, y pueden propagarse como infecciones contextuales dentro de cadenas de instrucciones, afectando múltiples componentes IA de forma simultánea.

Reforzar la seguridad de IA no puede limitarse a la arquitectura técnica. Se necesita un nuevo paradigma de protección contextual, capaz de entender y controlar las interacciones complejas que ocurren en entornos impulsados por modelos de lenguaje avanzados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login