Você já parou para pensar se o seu editor de código inteligente poderia, sem que você saiba, estar executando comandos enviados por um invasor? Essa possibilidade deixou de ser mera hipótese com a recente descoberta de uma grave vulnerabilidade no Cursor AI, um editor de código assistido por IA que vem ganhando popularidade entre desenvolvedores.
A falha, batizada de CurXecute e identificada como CVE-2025-54135, permitia a execução remota de código malicioso por meio da integração do Cursor com o aplicativo Slack. A vulnerabilidade foi corrigida na versão 1.3 do editor, mas este episódio serve como um alerta para toda a indústria de ferramentas de desenvolvimento baseadas em IA.
Neste artigo, vamos detalhar o que exatamente era a falha CurXecute, como o ataque funcionava explorando o protocolo Model Control Protocol (MCP) e o Slack, qual foi a solução adotada pelos desenvolvedores do Cursor e, principalmente, por que essa descoberta é um marco na crescente superfície de ataque que as IAs modernas estão abrindo para invasores.
À medida que incorporamos inteligência artificial em nossas ferramentas diárias, novos vetores de risco surgem — e é fundamental entendê-los para garantir a segurança dos ambientes de desenvolvimento.
O que é o Cursor AI e por que ele se tornou tão popular?
O Cursor AI é um editor de código baseado no Visual Studio Code, mas que pode ser descrito como um VS Code “com esteroides de IA”. Ele oferece funcionalidades avançadas de edição, geração e depuração de código, todas assistidas por inteligência artificial, com o objetivo de acelerar e facilitar o trabalho dos desenvolvedores.
Sua popularidade cresceu rapidamente porque integra recursos que vão desde autocompletar inteligente até sugestões de refatoração e automação de testes, tudo isso com uma interface moderna e altamente personalizável. Essa combinação o tornou uma ferramenta favorita entre profissionais de DevOps, engenheiros de software e entusiastas de IA que buscam produtividade aliada à inovação.
No entanto, essa integração intensa com IA e ferramentas externas também abre portas para riscos de segurança que precisam ser cuidadosamente monitorados.
Entendendo a vulnerabilidade CurXecute (CVE-2025-54135)
A falha CurXecute, descoberta pelo time de pesquisa da Aim Labs, recebeu uma pontuação de 8.6 na escala CVSS, indicando alta gravidade. Essa vulnerabilidade permitia que um invasor, usando mensagens especialmente criadas no Slack, executasse comandos arbitrários no computador da vítima por meio do Cursor.
O elo fraco: o protocolo de controle de modelo (MCP) e o Slack
O Model Control Protocol (MCP) é um protocolo projetado para que modelos de IA, como os embutidos no Cursor, possam interagir com ferramentas externas, APIs, bancos de dados e outros serviços. É uma forma de estender a inteligência da IA para o mundo real.
No caso do Cursor, a integração com o Slack funcionava por meio desse protocolo. Porém, a falha residia no fato de que o Cursor aceitava automaticamente a configuração de novos servidores MCP — como o do Slack — sem uma validação rigorosa.
Isso significava que, ao adicionar o MCP do Slack, o Cursor poderia acabar executando comandos recebidos pelo Slack sem filtro adequado.
A anatomia do ataque: como a injeção de comando acontecia
O ataque seguia um fluxo simples, mas perigoso:
- O usuário adicionava o MCP do Slack no Cursor para usar as integrações de mensagens dentro do editor.
- O invasor postava uma mensagem contendo um payload malicioso em um canal público do Slack, que seria acessível pelo usuário.
- Quando o desenvolvedor solicitava que o Cursor utilizasse a ferramenta Slack, o agente de IA lia automaticamente a mensagem contaminada.
- Por fim, o comando malicioso era executado diretamente no computador do desenvolvedor, abrindo portas para instalação de malware, roubo de dados ou controle remoto do sistema.
Essa forma de ataque é um tipo de injeção de prompt indireta, onde a IA é enganada a executar ações perigosas por meio de informações manipuladas em suas fontes externas.
A solução: por que uma lista de permissão é mais segura que uma lista de bloqueio
Para mitigar a vulnerabilidade, a equipe do Cursor lançou a versão 1.3, que trouxe uma correção fundamental: a adoção de uma allowlist (lista de permissão) para comandos e servidores MCP autorizados, substituindo a anterior denylist (lista de bloqueio).
A denylist funciona bloqueando comandos maliciosos conhecidos, mas esse método é falho porque invasores podem ofuscar seus payloads — por exemplo, usando codificação Base64 — para escapar dos filtros.
Já a allowlist funciona de maneira oposta: apenas comandos e fontes explicitamente autorizados podem ser executados, garantindo uma barreira muito mais robusta contra execuções não autorizadas.
Essa mudança reforça a importância de se adotar políticas de segurança proativas e preventivas em ferramentas que interagem com IAs.
Não é um caso isolado: a crescente superfície de ataque dos agentes de IA
O incidente com o Cursor AI é apenas um exemplo dentro de um cenário mais amplo que vem sendo monitorado por pesquisadores como a HiddenLayer. Eles descobriram que arquivos comuns, como README.md no GitHub, também podem ser usados para ataques de injeção de prompt indireta, capazes de roubar informações sensíveis como chaves SSH e tokens de API.
Outro caso recente foi o ataque ao Gemini CLI do Google, revelado pela empresa Tracebit, que também explorava vulnerabilidades similares na interação de agentes de IA com o ambiente externo.
Esses exemplos indicam que a superfície de ataque dos sistemas baseados em IA está crescendo rapidamente, ampliando os desafios de segurança para desenvolvedores e fornecedores de ferramentas.
Conclusão: um novo paradigma de segurança para a era da IA
As ferramentas de inteligência artificial trouxeram avanços revolucionários para o desenvolvimento de software, mas também criaram novos desafios e riscos de segurança que exigem atenção redobrada.
A vulnerabilidade CurXecute (CVE-2025-54135) no Cursor AI mostra que a capacidade dessas ferramentas de interagir com sistemas externos — via protocolos como o MCP — pode ser explorada para executar código malicioso, comprometendo o ambiente do desenvolvedor.
Por isso, a responsabilidade pela segurança não pode ficar apenas com os usuários finais. Criadores de ferramentas precisam implementar controles rigorosos, como allowlists, enquanto desenvolvedores devem manter seus ambientes sempre atualizados e vigilantes contra interações automáticas suspeitas.
Se você utiliza o Cursor AI, verifique se está na versão 1.3 ou superior para garantir que essa vulnerabilidade foi corrigida. E compartilhe este alerta com sua equipe de desenvolvimento para reforçar a cultura de segurança diante da evolução das inteligências artificiais.
