L’adozione massiva di ambienti di sviluppo basati su intelligenza artificiale come Cursor ha accelerato l’efficienza dei team software, ma ha anche introdotto nuove e sottovalutate superfici di attacco. L’ultima scoperta dei ricercatori di Check Point Research lo dimostra: una vulnerabilità critica nel sistema Model Context Protocol (MCP) consente l’esecuzione persistente di codice malevolo a insaputa dell’utente. Il problema nasce da una fiducia eccessiva negli automatismi dell’AI e in configurazioni ritenute affidabili, che invece possono essere modificate dopo l’approvazione iniziale.
Indice degli argomenti:
MCP: da strumento utile a vettore d’attacco
Il sistema MCP è progettato per istruire l’ambiente di sviluppo su come eseguire flussi automatizzati attraverso l’integrazione di script e modelli linguistici. Tuttavia, una volta approvato un MCP da parte di un utente, Cursor non effettua ulteriori controlli su eventuali modifiche. Questo significa che un attaccante, con accesso a un repository condiviso, può inserire un file MCP apparentemente innocuo, ottenere l’approvazione e poi sostituirlo con un payload maligno.
Ogni riapertura del progetto da parte della vittima innesca l’esecuzione automatica del codice infetto, senza ulteriori richieste di consenso. In scenari di lavoro collaborativo, questo si traduce in un accesso persistente e invisibile ai sistemi degli sviluppatori.
Impatti diretti sulla sicurezza aziendale
Le implicazioni di questa vulnerabilità sono ampie e preoccupanti per tutte le realtà che integrano strumenti AI nei propri flussi di sviluppo. Tra i principali rischi emersi:
- Accesso continuo e silenzioso ai dispositivi degli sviluppatori, che spesso custodiscono credenziali, chiavi di accesso al cloud e codice proprietario.
- Privilege escalation, con la possibilità per l’attaccante di usare credenziali locali per muoversi lateralmente nella rete aziendale.
- Esfiltrazione invisibile di dati, inclusi sorgenti sensibili e documentazione interna, con ripercussioni anche sulla proprietà intellettuale.
- Compromissione della fiducia negli strumenti AI, con gli ambienti che automatizzano processi complessi senza meccanismi di controllo retroattivo non più affidabili.
Un problema sistemico per la supply chain software
Cursor non è l’unico ambiente a rischio. La falla mette in discussione il modello di sicurezza alla base degli strumenti AI collaborativi, soprattutto quelli che integrano LLM e flussi di automazione nei processi DevOps. La dinamica della vulnerabilità richiama infatti scenari da supply chain attack, in cui basta una modifica apparentemente marginale per compromettere l’intera catena di sviluppo. È l’equivalente moderno di un trojan nascosto in un flusso CI/CD ovvero una catena automatica che permette agli sviluppatori di scrivere, testare e pubblicare codice in modo rapido e continuo.
Approvato una volta, rimane attivo nel tempo, con le istruzioni che vengono eseguite ogni volta che il codice viene toccato.
La risposta di Cursor e le azioni consigliate
Dopo la segnalazione da parte di Check Point avvenuta il 16 luglio 2025, il team di sviluppo di Cursor ha rilasciato una patch correttiva il 30 luglio. Ma il problema, secondo gli analisti, va oltre il singolo bug. Serve ripensare le dinamiche di fiducia e controllo nell’integrazione dell’AI negli strumenti per sviluppatori.
Check Point suggerisce misure strutturali:
- Evitare la fiducia implicita, specialmente in contesti di lavoro distribuiti dove più persone interagiscono con gli stessi repository.
- Trattare gli MCP come codice eseguibile, con code review, version control e limitazione degli accessi in scrittura.
- Educare i team sui meccanismi interni delle automazioni IA prima di concedere approvazioni.
