«Det er en generell, gammel bug-klasse, ikke spesifikk for KI-verktøy», sier Rony Utevsky, forsker i Adversa AI som fant svakheten. Angrepet han kaller «DeepJack» gjemmer en MCP-installasjonskommando inne i en lenke som ser ut som en helt vanlig pull request-gjennomgang.
Cursor registrerer sitt eget cursor://-URL-skjema med en rute for MCP-installasjon. Adversa AI dobbelt-URL-enkoder installasjonskommandoen og legger den inne i en pr-review-lenke, som Cursor ikke dekoder rekursivt. Når offeret godkjenner dialogboksen, er det synlige «Argument»-feltet fylt med mellomrom slik at den faktiske kommandoen ruller ut av syne. MCP-serveren kjører deretter med brukerens egne rettigheter, uten sandboxing.
Svakheten omgår kontrollene bak en tidligere fiks (CVE-2025-54133), som skulle vise argumentene i dialogen. Adversa AI observerte den først i Cursor 3.4.20 og bekreftet at den fortsatt virket i nyeste build 3.9.8 på publiseringsdagen 15. juli. Cursor sier til Dark Reading at feilen ble feilaktig lukket av en tredjeparts sikkerhetsleverandør, og at den nå er gjenåpnet og under etterforskning.
«Claude Code sendte akkurat en ett-klikks argument injection RCE i nøyaktig denne klassen, avslørt og fikset i mai. Codex er lavere risiko fordi deeplinken bare forhåndsfyller prompt-boksen; ingenting kjører før du trykker Enter.» — Rony Utevsky, Adversa AI
Hva bør du gjøre?
- Slå av eller begrens automatisk MCP-installasjon i Cursor, og allowlist bare navngitte MCP-servere via administrerte innstillinger.
- Vær skeptisk til cursor://-lenker fra e-post, chat eller PR-er, selv om de ser ut som ufarlige gjennomganger.
- Overvåk nye eller endrede MCP-serverdefinisjoner, siden det reelle faresignalet er avvik mellom det du fikk se og det som faktisk kjørte.