Các nhà nghiên cứu an ninh mạng vừa qua đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong trình soạn thảo mã nguồn Cursor AI, có thể dẫn đến việc thực thi mã từ xa (RCE). Lỗ hổng này, được theo dõi với mã hiệu CVE-2025-54136 (điểm CVSS: 7.2), được Check Point Research đặt tên là MCPoison, do nó khai thác một điểm yếu trong cách phần mềm xử lý các sửa đổi đối với cấu hình máy chủ Model Context Protocol (MCP).

Cursor cho biết: “Một lỗ hổng trong Cursor AI cho phép kẻ tấn công đạt được khả năng thực thi mã từ xa và duy trì lâu dài bằng cách sửa đổi tệp cấu hình MCP đã được tin cậy bên trong kho lưu trữ GitHub dùng chung hoặc chỉnh sửa tệp cục bộ trên máy của nạn nhân”. “Khi một cộng tác viên chấp nhận MCP vô hại, kẻ tấn công có thể âm thầm hoán đổi nó cho một lệnh độc hại (ví dụ: calc.exe) mà không gây ra bất kỳ cảnh báo hoặc nhắc lại nào.”

MCP là một tiêu chuẩn mở được phát triển bởi Anthropic, cho phép các mô hình ngôn ngữ lớn (LLM) tương tác với các công cụ, dữ liệu và dịch vụ bên ngoài một cách tiêu chuẩn. Nó được công ty AI này giới thiệu vào tháng 11 năm 2024.

Theo Check Point, CVE-2025-54136 liên quan đến việc kẻ tấn công có thể thay đổi hành vi của cấu hình MCP sau khi người dùng đã chấp thuận nó trong Cursor. Cụ thể, nó diễn ra như sau:

• Thêm cấu hình MCP có vẻ ngoài vô hại (“.cursor/rules/mcp.json”) vào kho lưu trữ dùng chung
• Chờ nạn nhân kéo mã và chấp thuận nó trong Cursor
• Thay thế cấu hình MCP bằng một payload độc hại, ví dụ: khởi chạy một tập lệnh hoặc chạy một backdoor
• Đạt được khả năng thực thi mã liên tục mỗi khi nạn nhân mở Cursor

Vấn đề cơ bản ở đây là sau khi cấu hình được chấp thuận, nó sẽ được Cursor tin cậy vô thời hạn cho các lần chạy trong tương lai, ngay cả khi nó đã bị thay đổi. Việc khai thác thành công lỗ hổng này không chỉ khiến các tổ chức gặp rủi ro về chuỗi cung ứng mà còn mở ra cánh cửa cho việc đánh cắp dữ liệu và tài sản trí tuệ mà họ không hề hay biết.

Sau khi được tiết lộ một cách có trách nhiệm vào ngày 16 tháng 7 năm 2025, vấn đề này đã được Cursor giải quyết trong phiên bản 1.3 phát hành vào cuối tháng 7 năm 2025 bằng cách yêu cầu người dùng chấp thuận mỗi khi một mục trong tệp cấu hình MCP bị sửa đổi.

Check Point cho biết: “Lỗ hổng này phơi bày một điểm yếu quan trọng trong mô hình tin cậy đằng sau môi trường phát triển hỗ trợ AI, làm tăng thêm rủi ro cho các nhóm tích hợp LLM và tự động hóa vào quy trình làm việc của họ”.

Thông tin này được đưa ra sau khi Aim Labs, Backslash Security và HiddenLayer tiết lộ nhiều điểm yếu trong công cụ AI này có thể bị lạm dụng để đạt được khả năng thực thi mã từ xa và vượt qua các biện pháp bảo vệ dựa trên danh sách đen của nó. Chúng cũng đã được vá trong phiên bản 1.3.

Các phát hiện cũng trùng hợp với việc AI ngày càng được áp dụng trong quy trình làm việc kinh doanh, bao gồm cả việc sử dụng LLM để tạo mã, mở rộng bề mặt tấn công đối với nhiều rủi ro mới nổi như tấn công chuỗi cung ứng AI, mã không an toàn, tấn công đầu độc mô hình, tấn công chèn prompt, tạo nội dung sai lệch, phản hồi không phù hợp và rò rỉ dữ liệu.

• Một thử nghiệm trên 100 LLM về khả năng viết mã Java, Python, C# và JavaScript đã phát hiện ra rằng 45% mẫu mã được tạo ra không vượt qua được các bài kiểm tra bảo mật và đưa vào danh sách OWASP Top 10 các lỗ hổng bảo mật. Java dẫn đầu với tỷ lệ thất bại bảo mật là 72%, tiếp theo là C# (45%), JavaScript (43%) và Python (38%).
• Một cuộc tấn công có tên là LegalPwn đã tiết lộ rằng có thể tận dụng các tuyên bố từ chối trách nhiệm pháp lý, điều khoản dịch vụ hoặc chính sách quyền riêng tư như một vectơ tấn công chèn prompt mới, làm nổi bật cách các hướng dẫn độc hại có thể được nhúng trong các thành phần văn bản hợp pháp, nhưng thường bị bỏ qua, để kích hoạt hành vi không mong muốn trong LLM, chẳng hạn như phân loại sai mã độc hại là an toàn và đưa ra các đề xuất mã không an toàn có thể thực thi reverse shell trên hệ thống của nhà phát triển.
• Một cuộc tấn công có tên là man-in-the-prompt sử dụng tiện ích mở rộng trình duyệt rogue mà không có quyền đặc biệt để mở một tab trình duyệt mới ở chế độ nền, khởi chạy chatbot AI và chèn vào chúng các prompt độc hại để bí mật trích xuất dữ liệu và xâm phạm tính toàn vẹn của mô hình. Điều này tận dụng thực tế là bất kỳ tiện ích bổ sung trình duyệt nào có quyền truy cập scripting vào Document Object Model (DOM) đều có thể đọc hoặc ghi trực tiếp vào prompt AI.
• Một kỹ thuật jailbreak có tên là Fallacy Failure thao túng LLM chấp nhận các tiền đề logic không hợp lệ và khiến nó tạo ra các đầu ra bị hạn chế, do đó đánh lừa mô hình phá vỡ các quy tắc của chính nó.
• Một cuộc tấn công có tên là MAS hijacking thao túng luồng điều khiển của hệ thống đa tác tử (MAS) để thực thi mã độc hại tùy ý trên các miền, phương tiện và cấu trúc liên kết bằng cách vũ khí hóa bản chất tác tử của hệ thống AI.
• Một kỹ thuật có tên là Poisoned GPT-Generated Unified Format (GGUF) Templates nhắm mục tiêu vào quy trình suy luận mô hình AI bằng cách nhúng các hướng dẫn độc hại trong các tệp mẫu trò chuyện thực thi trong giai đoạn suy luận để xâm phạm đầu ra. Bằng cách định vị cuộc tấn công giữa xác thực đầu vào và đầu ra mô hình, phương pháp này vừa lén lút vừa vượt qua các biện pháp bảo vệ AI. Với các tệp GGUF được phân phối thông qua các dịch vụ như Hugging Face, cuộc tấn công khai thác mô hình tin cậy chuỗi cung ứng để kích hoạt cuộc tấn công.
• Kẻ tấn công có thể nhắm mục tiêu vào môi trường đào tạo máy học (ML) như MLFlow, Amazon SageMaker và Azure ML để xâm phạm tính bảo mật, tính toàn vẹn và tính khả dụng của các mô hình, cuối cùng dẫn đến di chuyển ngang, leo thang đặc quyền, cũng như đánh cắp và đầu độc dữ liệu đào tạo và mô hình.
• Một nghiên cứu của Anthropic đã phát hiện ra rằng LLM có thể học các đặc điểm ẩn trong quá trình chưng cất, một hiện tượng gọi là học tập tiềm thức, khiến các mô hình truyền các đặc điểm hành vi thông qua dữ liệu được tạo ra có vẻ hoàn toàn không liên quan đến các đặc điểm đó, có khả năng dẫn đến sự sai lệch và hành vi có hại.

Dor Sarig của Pillar Security cho biết: “Khi các Mô hình Ngôn ngữ Lớn được nhúng sâu vào quy trình làm việc của tác nhân, trợ lý doanh nghiệp và công cụ dành cho nhà phát triển, rủi ro do các jailbreak này gây ra sẽ leo thang đáng kể”. “Các jailbreak hiện đại có thể lan truyền qua các chuỗi ngữ cảnh, lây nhiễm một thành phần AI và dẫn đến lỗi logic xếp tầng trên các hệ thống được kết nối với nhau.”

“Những cuộc tấn công này làm nổi bật rằng bảo mật AI đòi hỏi một mô hình mới, vì chúng vượt qua các biện pháp bảo vệ truyền thống mà không dựa vào các lỗ hổng kiến trúc hoặc CVE. Lỗ hổng nằm ở chính ngôn ngữ và khả năng suy luận mà mô hình được thiết kế để mô phỏng.”

Giải thích thuật ngữ:

• Thực thi mã từ xa (RCE): Là khả năng kẻ tấn công thực thi mã độc trên một hệ thống từ xa.
• CVSS: Là một tiêu chuẩn mở để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật.
• Model Context Protocol (MCP): Là một giao thức cho phép các mô hình ngôn ngữ lớn tương tác với các công cụ và dịch vụ bên ngoài.
• Large Language Models (LLM): Là các mô hình AI có khả năng hiểu và tạo ra ngôn ngữ tự nhiên.
• Payload: Là phần mã độc hại được sử dụng để khai thác lỗ hổng bảo mật.
• Backdoor: Là một phương pháp bí mật để vượt qua các biện pháp bảo mật thông thường và truy cập vào một hệ thống.
• Supply chain risks: Các rủi ro liên quan đến việc một thành phần hoặc dịch vụ trong chuỗi cung ứng bị xâm phạm, dẫn đến các vấn đề bảo mật cho toàn bộ hệ thống.
• Prompt injection: Một kỹ thuật tấn công trong đó kẻ tấn công chèn các prompt độc hại vào mô hình ngôn ngữ lớn để khiến nó thực hiện các hành động không mong muốn.
• Jailbreak: Một kỹ thuật tấn công để vượt qua các hạn chế và quy tắc được đặt ra cho một mô hình AI.
• Reverse shell: Một loại shell (giao diện dòng lệnh) trong đó máy của nạn nhân kết nối với máy của kẻ tấn công, cho phép kẻ tấn công điều khiển máy của nạn nhân.