![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Sicherheitsforscher von Check Point haben eine schwerwiegende Sicherheitsl\u00fccke im KI-Entwickler-Tool Cursor gefunden. Die von Check Point als MCPoison bezeichnete Schwachstelle (CVE-2025-54136) erm\u00f6glicht Angreifern \u00fcber das MCP-System von Cursor, sch\u00e4dlichen Code in die Projekte der Nutzer einzuschleusen. Das ist ein Paradebeispiel f\u00fcr neuartige Lieferketten-Angriffe in KI-gest\u00fctzten Entwickler-Umgebungen.<\/p>\n
<\/p>\n
Check Point Research (CPR) hat eine kritische Schwachstelle im KI-basierten Coding-Tool Cursor<\/em> entdeckt, die es Hackern erlaubt, dauerhaft Remote-Code auszuf\u00fchren. CPR kam der Schwachstelle (CVE-2025-54136<\/a>) bei der Untersuchung von Sicherheitsmodellen innerhalb von MCP-Systemen KI-unterst\u00fctzter Coding-Tools auf die Schliche. Die Sicherheitsl\u00fccke betrifft das Model Context Protocol (MCP) von Cursor und kann zur wiederholten Einschleusung von sch\u00e4dlichem Code missbraucht werden.\u00a0<\/span><\/p>\n Bei Cursor handelt es sich um eine IDE (Integrierte Entwicklungsumgebung), die eines der am schnellsten wachsenden KI-gest\u00fctzten Coding-Tools ist. Cursor kombiniert die lokale Code-Bearbeitung mit leistungsstarken LLM-Integrationen, um Teams beim Schreiben, Debuggen und Durchsuchen von Code zu helfen. Aufgrund seiner Flexibilit\u00e4t wird Cursor zunehmend von Startups, Forschergruppen und einzelnen Entwicklern eingesetzt, die KI-Tools direkt in ihre Entwicklung integrieren m\u00f6chten.<\/p>\n Die zunehmende Beliebtheit hat CPR veranlasst, sich das Sicherheitsmodell hinter diesen Tools genauer anzuschauen. In das Blickfeld der Untersuchung geriet das MCP-System von Cursor. Dabei handelt es sich um Konfigurationsdateien, die Cursor mitteilen, wie bestimmte Aufgaben zu automatisieren sind. Entwickler k\u00f6nnen \u00fcber diese Funktion verschiedene Tools, Skripte oder KI-gesteuerte Workflows direkt in ihre Programmierumgebung einbinden.<\/p>\n CPR untersuchte, ob Cursor Code-\u00c4nderungen innerhalb von MCP angemessen ber\u00fccksichtigt. Bei der kollaborativen Entwicklung kommen Bearbeitungen h\u00e4ufig vor und jede L\u00fccke in der Validierung kann zu Befehlsinjektionen, Code-Ausf\u00fchrung oder dauerhaften Kompromittierungen f\u00fchren.<\/p>\n Wenn ein Benutzer ein Projekt \u00f6ffnet, das eine MCP-Konfiguration enth\u00e4lt, zeigt Cursor eine einmalige Genehmigungsaufforderung an, in der gefragt wird, ob der Nutzer der Konfiguration vertraut. Doch hier liegt das Problem: Sobald ein MCP genehmigt ist, wird er von Cursor nie wieder \u00fcberpr\u00fcft, selbst wenn die darin enthaltenen Befehle sp\u00e4ter stillschweigend ge\u00e4ndert werden.<\/p>\n Das bedeutet, dass ein Angreifer, der mit demselben gemeinsamen Repository arbeitet, eine sicher erscheinende MCP-Konfiguration zu einem Projekt hinzuf\u00fcgen und dann darauf warten kann, dass jemand anderes aus dem Team sie abruft. Diese Konfiguration kann er sp\u00e4ter f\u00fcr b\u00f6sartige Zwecke nutzen, zum Beispiel, um ein Skript zu starten, eine Hintert\u00fcr zu \u00f6ffnen oder Daten an einen externen Server zu senden. Jedes Mal, wenn das Opfer das Projekt in Cursor \u00f6ffnet, wird der neue Befehl automatisch ausgef\u00fchrt, ohne eine neue Eingabeaufforderung oder Warnung auftauchen zu lassen.<\/p>\n CheckPoint hat die\u00a0technischen Einzelheiten und ein <\/span>Demo-Video des Angriffs in diesem Artikel<\/a> ver\u00f6ffentlicht.\u00a0<\/span><\/p>\n CPR fand genau das: eine schwerwiegende Schwachstelle im MCP-System von Cursor, die eine dauerhafte Remotecode-Ausf\u00fchrung (RCE) erm\u00f6glicht. Sobald ein Benutzer eine MCP-Konfiguration genehmigt hat, kann ein Angreifer deren Verhalten unbemerkt \u00e4ndern. Von diesem Moment an k\u00f6nnen b\u00f6sartige Befehle jedes Mal ausgef\u00fchrt werden, wenn das jeweilige Projekt ohne weitere Aufforderungen oder Benachrichtigungen ge\u00f6ffnet wird.\u00a0Ein Angreifer kann in diesem Fall:<\/p>\n In gemeinsam genutzten Programmierumgebungen verwandelt die Schwachstelle einen vertrauensw\u00fcrdigen MCP in einen versteckten, kontinuierlichen Angriffspunkt. F\u00fcr Unternehmen, die sich auf KI-Tools wie Cursor verlassen, hat dies schwerwiegende Folgen: unbemerkter, st\u00e4ndiger Zugriff auf Entwicklerrechner, Anmeldedaten und Code-Fundamente, ausgel\u00f6st durch eine einzige Genehmigung.<\/p>\n Da in vielen Unternehmen Projekte \u00fcber Repositories gemeinsam genutzt und synchronisiert werden, bietet diese Schwachstelle Angreifern eine ideale M\u00f6glichkeit, langfristig und unbemerkt Fu\u00df zu fassen.<\/p>\n F\u00fcr Unternehmen, die sich auf Cursor und \u00e4hnliche KI-gest\u00fctzte IDEs verlassen, ist das Verst\u00e4ndnis und die Behebung dieser Schwachstelle entscheidend f\u00fcr den Schutz ihrer Entwicklungsumgebungen und sensiblen Ressourcen.<\/p>\n Um Schwachstelle in KI-gest\u00fctzten Entwicklungsumgebungen zu entsch\u00e4rfen, empfiehlt CPR:<\/p>\n \u201eKI-gest\u00fctzte Entwickler-Tools ver\u00e4ndern die Software-Entwicklung, schaffen aber auch neue Angriffsfl\u00e4chen, die das Vertrauen der Entwickler ausnutzen wollen\", so Oded Vanunu, Chief Technologist & Head of Product Vulnerability Research bei Check Point Software Technologies: \u201eMCPoison zeigt, wie einfach Automatisierung und Komfort f\u00fcr heimliche, langfristige Ausbeutung in kollaborativen Programmierumgebungen missbraucht werden k\u00f6nnen.\"<\/p>\n Nach der Entdeckung dieser Schwachstelle hat Check Point Research das Cursor-Entwickler-Team am 16. Juli 2025 verantwortungsbewusst \u00fcber das Problem informiert. Cursor ver\u00f6ffentlichte am 30. Juli 2025 einen Fix.<\/p>\n Weitere Informationen finden sich im Beitrag Cursor IDE: Persistent Code Execution via MCP Trust Bypass<\/a> im CPR-Blog.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Sicherheitsforscher von Check Point haben eine schwerwiegende Sicherheitsl\u00fccke im KI-Entwickler-Tool Cursor gefunden. Die von Check Point als MCPoison bezeichnete Schwachstelle (CVE-2025-54136) erm\u00f6glicht Angreifern \u00fcber das MCP-System von Cursor, sch\u00e4dlichen Code in die Projekte der Nutzer einzuschleusen. Das ist ein Paradebeispiel … Weiterlesen Was ist Cursor?<\/h2>\n
Wie die Sicherheitsl\u00fccke funktioniert<\/h2>\n
Warum die Sicherheitsl\u00fccke gef\u00e4hrlich ist<\/h2>\n
\n
Auswirkungen in der realen Welt<\/h2>\n
\n
\n
Verantwortungsvolle Offenlegung und Entsch\u00e4rfung<\/h2>\n