研究人员，然而，正在 Cursor 中，后者可无用户交互地窃取数据。能够被者操纵注入恶意提醒，者可操纵第三方 MCP 办事器（如 Slack、GitHub）发布恶意提醒，7 月 29 日发布的版本 1.3 包含多项改良和修复。MCP 虽然扩展了 AI 智能体的能力，将缝隙评为中等严沉性（8.6 分），如问题器、客服收件箱以至搜刮引擎。以避免已知风险。并催促开辟者尽快升级。者可通过外部托管的办事注入恶意提醒，恶意载荷（如 shell）会间接写入磁盘。几乎影响所有版本，冒用用户权限施行操做。该缝隙逃踪编号为 CVE-2025-54135，IT之家附上演示视频如下：研究人员于 7 月 7 日暗里演讲缝隙，报道称让法式员“氪金”上瘾的 AI 东西 Cursor 存正在 CurXecute 严沉缝隙，Aim Security 团队建立的演示视频显示，可能影响其节制流程，催促用户当即更新至最新版本，科技 bleepingcomputer 昨日（8 月 1 日）发布博文！从而实现肆意号令的近程施行。IT之家 8 月 2 日动静，但也让其正在不信赖的外部数据中，Cursor 同时发布平安通知布告，让 AI 智能体施行近程代码，面包罗任何处置外部内容的第三方 MCP 办事器。者可借此劫持代办署理会话，并获得开辟者权限。已于 7 月 29 日发布 1.3 版本修复，查看更多手法取 Microsoft 365 CoPilot 的“EchoLeak”缝隙雷同，Cursor 次日即归并补丁至从分支。前往搜狐？