Nello sviluppo software, l’integrazione dell’intelligenza artificiale (IA) ha portato a una rivoluzione nei flussi di lavoro dei programmatori. Strumenti come Cursor, un ambiente di sviluppo integrato (IDE) potenziato dall’IA, hanno guadagnato popolarità grazie alla loro capacità di generare, correggere e rifattorizzare il codice utilizzando comandi in linguaggio naturale. Tuttavia, questa innovazione ha messo in luce una vulnerabilità critica che potrebbe compromettere la sicurezza dei progetti: la CVE-2025-54136, scoperta da Check Point Research.
Al centro di questa vulnerabilità c’è il “Model Context Protocol” (MCP) di Cursor, un framework che consente agli sviluppatori di definire flussi di lavoro automatizzati, integrare API esterne ed eseguire comandi all’interno dell’IDE. Questi MCP funzionano come plugin e svolgono un ruolo centrale nell’ottimizzazione dell’assistenza fornita dall’IA nella generazione del codice, nel debug e nella configurazione del progetto. Il problema di sicurezza deriva da come Cursor gestisce la fiducia: quando viene introdotto un MCP, l’utente viene invitato una sola volta ad approvarlo. Tuttavia, dopo questa approvazione iniziale, Cursor non verifica mai più la configurazione, anche se il contenuto viene modificato. Ciò crea uno scenario pericoloso: un MCP apparentemente innocuo può essere sostituito silenziosamente con codice dannoso, e la configurazione modificata verrà eseguita senza generare nuovi avvisi o notifiche.
Questa vulnerabilità non è solo un rischio teorico; rappresenta una via di attacco pratica negli ambienti di sviluppo moderni, dove i progetti vengono condivisi tra team tramite sistemi di controllo versione come Git. Un attaccante può:
- Commettere un file MCP apparentemente innocuo in un repository condiviso.
- Attendere che un membro del team lo approvi in Cursor.
- Modificare l’MCP per includere comandi dannosi (ad esempio, shell inversa o script di esfiltrazione dei dati).
- Ottenere accesso automatico e silenzioso ogni volta che il progetto viene riaperto in Cursor.
Il difetto risiede nel fatto che Cursor lega la fiducia al nome della chiave MCP, piuttosto che al contenuto della configurazione. Una volta che un MCP è considerato affidabile, il nome può rimanere invariato mentre il comportamento sottostante diventa pericoloso.
La vulnerabilità CVE-2025-54136 evidenzia un problema più ampio che emerge all’intersezione tra l’apprendimento automatico e gli strumenti per sviluppatori: l’eccessiva fiducia nell’automazione. Con l’integrazione sempre più diffusa di funzionalità guidate dall’IA nelle piattaforme per sviluppatori, come il completamento automatico e la configurazione intelligente, la superficie di attacco si espande notevolmente. Termini come “esecuzione remota di codice” (RCE) e “shell inversa” non sono più riservati agli strumenti di hacking tradizionali. In questo caso, l’RCE viene ottenuta sfruttando un’automazione approvata. Una shell inversa può essere avviata semplicemente modificando una configurazione precedentemente affidabile.
Check Point Research ha divulgato la vulnerabilità in modo responsabile il 16 luglio 2025, e Cursor ha rilasciato una patch il 30 luglio 2025 per affrontare il problema. Tuttavia, le implicazioni più ampie rimangono. Per proteggersi da minacce simili, le organizzazioni e gli sviluppatori dovrebbero:
- Trattare gli MCP come codice: rivedere e versionare tutte le configurazioni di automazione, trattandole come parte del codice sorgente, non come metadati innocui.
- Rivalidare le modifiche: gli strumenti dovrebbero implementare prompt o verifiche basate su hash ogni volta che una configurazione precedentemente affidabile viene modificata.
- Limitare l’accesso in scrittura: utilizzare i controlli di accesso al repository per limitare chi può modificare i file di automazione.
- Audit dei flussi di lavoro IA: comprendere e documentare cosa fa ogni configurazione abilitata dall’IA, specialmente in ambienti di team.
- Monitorare l’attività dell’IDE: tracciare e avvisare sulle esecuzioni di comandi automatizzati attivate dagli IDE per rilevare comportamenti sospetti.
La vulnerabilità di Cursor IDE dovrebbe servire da monito per l’intera industria del software. Gli strumenti potenziati dall’IA non sono più opzionali; stanno diventando essenziali. Ma con questa adozione deve arrivare un cambiamento nel nostro modo di pensare alla fiducia, alla validazione e all’automazione. La CVE-2025-54136 espone i rischi di ambienti di sviluppo guidati dalla convenienza che non verificano il comportamento continuo. Per rimanere sicuri in questa nuova era, sviluppatori e organizzazioni devono ripensare cosa significa davvero “affidabile” e assicurarsi che l’automazione non diventi una vulnerabilità silenziosa che si nasconde in bella vista.