Wintech - A sua fonte diária de informação tecnológica - Vulnerabilidade crítica no cursor IDE expõe riscos de automação com IA

: Por João Fernandes; Ago. 07, 2025

A equipa de investigação da Check Point Research descobriu uma vulnerabilidade crítica no Cursor IDE, uma popular plataforma de desenvolvimento assistida por IA. A falha, identificada como CVE-2025-54136 e batizada de MCPoison, permite a execução remota persistente de código (RCE) sem notificação ao utilizador, colocando em risco projetos colaborativos e ambientes de desenvolvimento. Esta vulnerabilidade reside no Model Context Protocol (MCP), que pode ser manipulado após uma primeira aprovação para executar comandos maliciosos silenciosamente, sempre que o projeto for aberto.

Este tipo de ataque pode levar ao roubo de credenciais, instalação de backdoors e movimentos laterais na rede, explorando a confiança inerente a ambientes colaborativos. A Check Point alerta para os perigos da confiança cega em sistemas automatizados assistidos por IA e destaca riscos como persistência silenciosa, escalada de privilégios e quebra do modelo de confiança.

A falha foi comunicada à equipa do Cursor a 16 de julho e, a 29 de julho, foi lançada a versão 1.3 com uma correção que exige nova aprovação do utilizador sempre que um ficheiro MCP é alterado. A CPR confirmou que a mitigação é eficaz, apesar de a correção não ser detalhada no changelog oficial.

A Check Point recomenda a atualização imediata da plataforma e a adoção de boas práticas, como auditar ficheiros MCP, limitar permissões e monitorizar alterações em ambientes de desenvolvimento. Este caso sublinha os desafios crescentes da adoção de IA nos processos de desenvolvimento e a necessidade de reforçar a segurança nos IDEs inteligentes.

Classifique este item

(0 votos)