Hintertür für Hacker

Cursor: Kritische Sicherheitslücke im KI-Coding-Tool entdeckt

Schwachstelle, cursor schwachstelle, cursor sicherheitslücke, CVE-2025-54136, Cursor, Sicherheitslücke
Bildquelle: Robert Way / Shutterstock.com
LinkedInRedditWhatsAppPocket

Sicherheitsforscher von Check Point haben eine gravierende Schwachstelle im beliebten KI-basierten Entwickler-Tool Cursor entdeckt. Die Lücke erlaubt es Angreifern, schadhaften Code dauerhaft in Entwicklungsprojekte einzuschleusen und das völlig unbemerkt.

Schwachstelle im Cursor MCP-System entdeckt

Das Team von Check Point Research (CPR) hat eine brisante Sicherheitslücke im Coding-Tool Cursor identifiziert. Unter dem Namen MCPoison wurde die Schwachstelle (CVE-2025-54136) öffentlich gemacht. Die Analyse zeigt: Angreifer können über die sogenannte MCP-Konfiguration innerhalb von Cursor dauerhaft Remote-Code auf Entwicklerrechnern ausführen – ohne dass Nutzer erneut gewarnt oder gefragt werden.

Anzeige

Cursor basiert auf dem Model Context Protocol (MCP), das Befehle automatisiert ausführt und KI-gestützte Workflows in der Entwicklungsumgebung integriert. Gerade diese Funktion eröffnet jedoch gefährliche Einfallstore.

Ein genehmigter MCP – ein offenes Tor

Beim Öffnen eines Projekts, das eine MCP-Konfiguration enthält, erscheint in Cursor zunächst eine Genehmigungsanfrage. Doch genau hier liegt die Schwäche: Nach einmaliger Zustimmung bleibt die Konfiguration dauerhaft aktiv – selbst wenn sie im Hintergrund manipuliert wurde.

Das macht Angriffe besonders perfide. Ein Angreifer kann etwa eine harmlose Konfiguration in ein Repository einfügen und später gegen schädliche Befehle austauschen. Jedes Mal, wenn das Opfer Cursor öffnet, wird der veränderte Befehl automatisch ausgeführt – ganz ohne erneute Eingabeaufforderung oder Warnung.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was ist Cursor und warum ist es betroffen?

Cursor gehört zu den am schnellsten wachsenden Tools im Bereich der KI-gestützten Software-Entwicklung. Es kombiniert klassische Code-Bearbeitung mit leistungsstarker KI-Integration, um Entwicklern beim Schreiben, Debuggen und Analysieren von Code zu helfen.

Die zunehmende Nutzung – insbesondere in Start-ups und Forschungsteams – hat CPR dazu veranlasst, die Sicherheitsstrukturen solcher Tools genauer zu untersuchen. Im Fokus stand dabei das MCP-System, das automatische Arbeitsabläufe definiert und externe Skripte einbindet.

So funktioniert der Angriff im Detail

Ein Beispiel für den Ablauf:

  1. Ein Angreifer fügt eine vertrauenswürdig aussehende MCP-Konfiguration in ein gemeinsames Repository ein.
  2. Ein Teammitglied öffnet das Projekt und stimmt der Konfiguration zu.
  3. Der Angreifer ändert den MCP-Code unbemerkt in eine bösartige Variante.
  4. Bei jedem weiteren Öffnen des Projekts wird der Schadcode ohne Nachfrage automatisch ausgeführt.

Der Angriff bleibt still, kontinuierlich und effektiv – gerade in kollaborativen Umgebungen ein ernstes Risiko.

Potenzielle Folgen für Unternehmen

Die Schwachstelle ist nicht nur technisch bedenklich, sondern bringt weitreichende Folgen für Organisationen mit sich:

  • Dauerhafte Hintertür: Der Code kann bei jedem Öffnen des Projekts aktiv werden – ohne Hinweis oder weitere Freigabe.
  • Vergrößerte Angriffsfläche: Jedes Teammitglied mit Schreibrechten kann potenziell den Angriff ermöglichen.
  • Zugriff auf sensible Daten: Entwickler speichern oft Zugangsdaten oder interne Informationen lokal, die dadurch kompromittiert werden können.
  • Verlust geistigen Eigentums: Unbemerktes Auslesen oder Manipulieren von Quellcode kann zu massiven Schäden führen.
  • Vertrauensverlust in KI-Tools: Blindes Vertrauen in automatisierte Workflows wird zum Sicherheitsrisiko.

„KI-gestützte Entwickler-Tools verändern die Software-Entwicklung, schaffen aber auch neue Angriffsflächen, die das Vertrauen der Entwickler ausnutzen wollen“, warnt Oded Vanunu, Chief Technologist & Head of Product Vulnerability Research bei Check Point Software Technologies. „MCPoison zeigt, wie einfach Automatisierung und Komfort für heimliche, langfristige Ausbeutung in kollaborativen Programmierumgebungen missbraucht werden können.“

Was Unternehmen jetzt tun sollten

Um sich vor Angriffen über MCPoison zu schützen, empfiehlt Check Point folgende Maßnahmen:

  • MCP-Dateien wie Quellcode behandeln: Regelmäßige Audits und Versionskontrollen einführen.
  • Blindes Vertrauen vermeiden: Nur genehmigen, was wirklich verstanden wurde – auch bei harmlos wirkenden Automatisierungen.
  • Zugriffsrechte kontrollieren: Nur autorisierte Nutzer dürfen Konfigurationen in Repositories verändern.

Offenlegung und Reaktion

Check Point informierte das Cursor-Entwicklerteam am 16. Juli 2025 über die Schwachstelle. Am 30. Juli folgte ein Sicherheitsupdate, das die Lücke schließt.

Weitere Informationen:

Hier finden Sie den CPR-Blog “Cursor IDE: Persistent Code Execution via MCP Trust Bypass”.

Alle technischen Einzelheiten und ein Demo-Video des Angriffs sehen Sie hier.

(vp/heck Point Software Technologies Ltd.)


Anzeige

Weitere Artikel

Cyberkriminelle setzen KI bei KRITIS-Angriffen ein
Analysten warnen: Hackern wird es oft zu leicht gemacht
“Polyworking” erhöht Cybersicherheitsrisiken massiv
Sicherheitsrisiko Mensch: So schützen Unternehmen ihre Daten
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.