人工智慧（AI）的整合搭配，对于软件开发生产力的提升，扮演的角色越来越重要，一旦存在相关漏洞，就有可能让开发者在编写程序码的过程里，带入攻击者的恶意内容，或是进一步对开发环境上下其手。

例如，最近资安业者Aim Security揭露的高风险漏洞CurXecute，就是这种型态的例子。这个漏洞出现在AI整合式开发环境（IDE）Cursor，一旦攻击者成功利用，就有机会远端执行任意程序码（RCE），CVSS风险评为8.6。他们向Cursor开发团队通报此事，Cursor于7月8日发布1.3.9版修补，并将漏洞登记为CVE-2025-54135列管。

这个漏洞的发现，与6月Aim Security揭露的Microsoft 365 Copilot零点击漏洞EchoLeak有关，当时他们对相关问题的理解，在于：只要提供AI机器人不受信任的内容，就有机会在无须使用者互动的情况下，挟持大型语言模型（LLM）的内部迴圈，从而洩露模型能够看到的资料。

基于这样的认知，他们对Cursor进行调查，由于该IDE工具支援模型内容通讯协定（Model Context Protocol，MCP），可藉由自然语言，存取Slack主机、GitHub储存库，或其他的资料库，将本机代理程序变成像瑞士刀的万用工具。然而，MCP会将代理程序曝露于外部及不受信任的资料而产生危险，影响代理程序的流程控制，一旦攻击者挟持代理程序的连线阶段（Session），就有机会藉由代理程序的权限冒充使用者。

Aim Security认为，CurXecute发生的原因牵涉三种层面，分别是MCP自动执行的机制、即时建议的编辑内容，以及提示注入引发RCE的途径。由于只要发现~/.cursor/mcp.json出现新的内容，Cursor就会在没有使用者确认的情况下执行，再加上代理程序建议修改mcp.json的内容已存放于磁碟，即便使用者否决还是会照样执行，因此攻击者只要透过Slack等MCP支援的外部平台注入恶意资料，就有机会操控Cursor的AI代理程序，从而执行任意命令。

为了让更多人了解这个漏洞，Aim Security也透过影片展示概念验证（PoC），并指出当中呈现的攻击面，源自于处理外部内容的任意第三方MCP服务器，包括：问题追蹤工具、客户支援信箱，甚至是搜寻引擎，而且，只要一个中毒的文件，就有机会将AI代理程序变成本机的Shell。