Une faille de sécurité critique, aujourd’hui corrigée, a récemment exposé le très populaire éditeur de code propulsé par l’intelligence artificielle Cursor AI à un risque majeur d’exécution de code à distance. Les chercheurs en cybersécurité ont révélé que cette vulnérabilité permettait à des attaquants d’exploiter un mécanisme d’injection de commande via des messages externes, mettant en péril les données des utilisateurs et ouvrant la porte à des scénarios tels que le vol de données, l’intégration de ransomwares et des manipulations du comportement de l’IA. Ces révélations concernent spécifiquement la version antérieure à la 1.3 de Cursor, poussant les utilisateurs à réagir sans tarder.
Une faille baptisée CurXecute ouvre la voie à l’exécution de commandes malveillantes
Une vulnérabilité sévère exploitée via les serveurs MCP
Répertoriée sous le nom CVE-2025-54135 avec un score CVSS de 8,6, cette faille critique dans Cursor provient d’un comportement dangereux lié aux serveurs MCP (Model Control Protocol). Un fichier de configuration nommé mcp.json, utilisé pour paramétrer les connexions entre l’agent IA et des services externes comme Slack, pouvait être manipulé pour exécuter automatiquement des instructions sans validation.
L’équipe de Aim Security, à l’origine de la découverte, indique que cette injection de commande permettait d’écrire silencieusement dans ce fichier, contournant ainsi toute vérification de sécurité client. Une fois la charge malveillante intégrée, elle était automatiquement exécutée, donnant accès à un attaquant aux privilèges de l’utilisateur concerné.
Un scénario d’attaque simple mais redoutable
Le vecteur d’attaque se distingue par sa simplicité : un utilisateur ajoute un serveur MCP Slack via l’interface de Cursor, un hacker publie un message dans un canal public contenant une injection, puis l’utilisateur demande à l’agent IA de résumer les messages du canal. L’IA, en lisant le message piégé, exécute alors des commandes non autorisées.
Ce processus illustre parfaitement comment une IA, même bien intentionnée, peut être détournée, ce qui justifie d’intégrer des pratiques préventives pour sécuriser les outils d’IA dans le développement logiciel.
Un problème de sécurité structurelle dans le fonctionnement de Cursor
Des protections contournées facilement
La version précédente de Cursor s’appuyait sur une denylist (liste de blocage) pour empêcher cette exécution automatique. Or, elle pouvait être dépassée avec des astuces simples comme l’encodage Base64 ou des syntaxes détournées (ex. : « e »cho). L’éditeur a donc abandonné ce mécanisme en faveur d’une allowlist (liste d’autorisation), considérée plus robuste.
Les chercheurs de BackSlash, à l’origine de cette mesure responsable, soulignent que ce type d’environnement de codage collaboratif doit être renforcé d’emblée. Comme mentionné par les experts : “Ne comptez pas aveuglément sur les protections intégrées des plateformes de code IA”.
Prompt injection via des fichiers README.md GitHub
Une autre technique permettait de dissimuler du code malveillant dans un README.md. Lorsqu’un utilisateur demandait à Cursor d’interpréter le fichier via une commande comme « git clone », l’injection s’activait. Une telle attaque a permis l’exfiltration de clés SSH ou de clés API depuis l’environnement local à l’aide d’utilitaires comme curl ou grep.
Attaques combinées et exfiltration de données sensibles
Technique de combinaison d’outils pour voler des clés privées
L’entreprise HiddenLayer a démontré que des scripts injectés discrètement exploitaient les outils read_file et create_diagram pour lire des fichiers locaux comme les clés SSH, puis exfiltrer leur contenu vers une URL malveillante. Là encore, toute cette opération prenait racine dans une simple demande de résumé de fichier par l’utilisateur, mettant en lumière une chaîne d’attaque insidieuse.
De telles menaces rappellent l’importance d’apprendre à hacker pour comprendre les méthodes offensives modernes. Pour ceux qui souhaitent approfondir leurs connaissances techniques, le livre pour hacker publié par CyberCare offre un panorama des techniques de hacking éthique et des mécanismes de défense adaptés aux environnements actuels.
Des attaques similaires détectées sur Google Gemini CLI
Un contexte comparable a été observé avec Gemini CLI, un outil open source de Google dédié au développement. Une injection indirecte dans un fichier GEMINI.md a permis l’exécution furtive de commandes malicieuses. Le fichier autorisait des instructions via une allowlist, ce qui n’empêchait pas leur exploitation à des fins malveillantes.
Dans tous ces cas, un point commun se dégage : l’instrumentalisation d’outils IA dédiés au développement via des entrées externes non sécurisées.
Face à ces attaques sophistiquées mettant en péril les chaînes de développement, CyberCare accompagne les entreprises dans la sécurisation de leurs outils IA et environnements DevOps grâce à des audits et des services de protection adaptés.
