Tu asistente de IA te hackea por encargo. Basta con un mensaje astuto en el chat

En el editor de código fuente Cursor, que utiliza inteligencia artificial para asistir a programadores, se ha descubierto una vulnerabilidad crítica, identificada como CVE-2025-54135 y nombrada provisionalmente CurXecute. Está presente en casi todas las versiones del entorno de desarrollo y permite la ejecución remota de comandos arbitrarios con privilegios de usuario —basta con enviar una solicitud maliciosa al agente.

Cursor admite el protocolo Model Context Protocol (MCP), mediante el cual su asistente de IA puede conectarse a fuentes de datos externas —como Slack, GitHub o bases de datos— y ejecutar comandos a partir de simples textos. Según explicaron desde Aim Security, es precisamente esta capacidad de interactuar con sistemas externos la que convierte al agente en un componente vulnerable, ya que comienza a procesar información no confiable que puede alterar su comportamiento.

La vulnerabilidad está relacionada con el llamado prompt injection o ataque por inyección de instrucciones —una técnica en la que un texto especialmente diseñado obliga a la IA a ejecutar comandos no previstos por el usuario. Mecanismos similares ya se habían observado, por ejemplo, en Microsoft 365 Copilot, donde una falla análoga permitía extraer datos confidenciales sin intervención del usuario. El problema se agrava porque el código generado por IA a menudo contiene fallos que los desarrolladores no detectan.

La configuración MCP de Cursor se guarda en el archivo ~/.cursor/mcp.json, ubicado en el directorio del proyecto. Los investigadores descubrieron que los cambios en este archivo se aplican de inmediato, incluso si el usuario rechaza las modificaciones sugeridas por la IA. Esto permite que un atacante, al introducir instrucciones maliciosas en una fuente externa, modifique la configuración MCP e introduzca código arbitrario para su ejecución.

Un posible escenario: el atacante publica un mensaje malicioso en un canal público de Slack vinculado al proyecto. Cuando el usuario abre el chat y le pide a la IA que resuma la conversación, el agente procesa el contenido recibido y guarda silenciosamente la configuración maliciosa en el disco. Esta puede contener, por ejemplo, un comando para iniciar una shell o ejecutar un script.

Los analistas advierten que están en riesgo todos los servidores MCP externos que procesan datos de fuentes no confiables —desde sistemas de seguimiento de tareas hasta atención al cliente o motores de búsqueda. Una sola entrada maliciosa puede convertir al agente local en una herramienta de control remoto. Dado que las extensiones de los entornos de desarrollo suelen contener vulnerabilidades, el problema se vuelve aún más grave.

Las posibles consecuencias incluyen la instalación de ransomware, robo de datos, corrupción de la lógica del proyecto mediante resultados manipulados y ataques con sustitución de dependencias (slopsquatting).

El problema fue reportado a los desarrolladores de Cursor el 7 de julio de 2025, y ya al día siguiente la corrección se integró en la rama principal del código. El parche final se publicó el 29 de julio junto con el lanzamiento de Cursor 1.3. La falla recibió una puntuación de 8.6 en la escala CVSS y fue clasificada como de severidad media.

Se recomienda encarecidamente a los usuarios actualizar a la última versión lo antes posible para eliminar el riesgo de ejecución remota de comandos a través de fuentes MCP externas.