Uma vulnerabilidade crítica foi descoberta recentemente no Cursor IDE, editor de código que integra inteligência artificial para auxiliar desenvolvedores. A falha, apelidada de CurXecute, foi identificada pela empresa Aim Security e registrada como CVE-2025-54135. Ela permite que um invasor aproveite a integração da IA com fontes externas para executar comandos arbitrários na máquina da vítima — tudo isso sem interação direta do usuário.
Este artigo explica de forma clara e objetiva como funciona a falha CurXecute, como o ataque de injeção de prompt no Cursor compromete a segurança de desenvolvedores e quais são os riscos reais, como roubo de código-fonte, instalação de malware e espionagem. Também mostraremos o passo a passo para se proteger imediatamente.
Mais do que um caso isolado, essa vulnerabilidade expõe uma nova classe de ameaça digital: o uso malicioso da IA em ambientes de desenvolvimento, que tende a se tornar cada vez mais frequente com a popularização dos chamados copilotos de código.

O que é a vulnerabilidade CurXecute (CVE-2025-54135)?
A CurXecute é uma falha grave de injeção de prompt descoberta pela equipe da Aim Security, especializada em segurança de aplicações com IA. O problema foi detectado em versões do Cursor IDE anteriores à 1.3, e explora a forma como a ferramenta interpreta comandos de fontes externas através da sua IA.
A vulnerabilidade foi registrada com o código CVE-2025-54135 e recebeu uma pontuação de 8.6 na escala CVSS. Embora classificada como de gravidade média, o impacto é considerado alto, já que permite a execução de comandos arbitrários na máquina do desenvolvedor — algo comparável a uma falha de execução remota.
O vetor de ataque é relativamente simples, o que aumenta ainda mais o potencial de exploração. Felizmente, os desenvolvedores do Cursor agiram rápido e lançaram uma correção na versão 1.3.
Como funciona o ataque de injeção de prompt no Cursor IDE
O papel do protocolo MCP e a conexão com o perigo
O Model Context Protocol (MCP) é uma estrutura utilizada pelo Cursor para permitir que sua IA acesse fontes externas como GitHub, Slack, Jira e outros serviços. O objetivo é fornecer contexto adicional para que a IA possa resumir conversas, buscar trechos de código ou interpretar documentos diretamente de plataformas externas.
No entanto, esse recurso é também o ponto fraco explorado pelo ataque. Como o Cursor aceita resumos automáticos vindos de fontes externas, sua IA pode acabar interpretando prompts maliciosos como instruções legítimas, abrindo caminho para manipulações perigosas.
O vetor de ataque: um resumo malicioso é o suficiente
O ataque CurXecute ocorre quando um invasor injeta um prompt malicioso em uma dessas fontes externas, por exemplo, um canal público do Slack. O prompt é cuidadosamente elaborado para se disfarçar como uma simples mensagem ou atualização.
Quando o desenvolvedor interage com a IA do Cursor e solicita algo como “resuma as mensagens mais recentes do canal”, a IA processa todas as entradas, inclusive o prompt malicioso.
A mágica (ou o desastre) acontece nesse momento: o prompt instrui a IA a modificar o arquivo de configuração local ~/.cursor/mcp.json
para autorizar novos comandos ou scripts — tudo isso sem o consentimento do usuário, mesmo que ele tente rejeitar a ação.
Com isso, o invasor obtém controle suficiente para executar comandos locais arbitrários, como baixar malware, alterar arquivos ou iniciar conexões externas. Trata-se de uma invasão quase silenciosa, mediada pela própria IA.
Quais são os riscos reais para os desenvolvedores?
Os perigos trazidos por essa vulnerabilidade no Cursor IDE são concretos e potencialmente devastadores. Veja os principais riscos:
- Roubo de dados sensíveis: Acesso a repositórios de código-fonte, chaves de API, senhas e credenciais salvas.
- Instalação de ransomware: O invasor pode baixar e executar scripts maliciosos que criptografam arquivos e exigem resgate.
- Espionagem contínua: Implantação de backdoors que mantêm vigilância sobre o ambiente de desenvolvimento.
- Injeção de código malicioso: Alterações sutis no código em que o desenvolvedor está trabalhando, introduzindo falhas ou brechas de segurança difíceis de detectar.
- Comprometimento da cadeia de suprimentos de software: Caso o código afetado seja publicado em produção, ele pode comprometer sistemas e usuários finais.
A combinação de IA, acesso a fontes externas e permissões implícitas torna este tipo de ataque particularmente perigoso em ambientes colaborativos, onde a confiança é alta e a supervisão limitada.
Ação imediata: como se proteger da vulnerabilidade do Cursor IDE
Atualize seu Cursor IDE para a versão 1.3 ou mais recente imediatamente.
A equipe do Cursor lançou uma correção eficaz na versão 1.3, que impede a reconfiguração silenciosa do MCP e adiciona verificações de segurança mais rígidas.
Outras recomendações importantes incluem:
- Desativar temporariamente o acesso automático da IA a fontes externas, como Slack e GitHub, até garantir que tudo está atualizado.
- Verificar o conteúdo do arquivo
~/.cursor/mcp.json
para garantir que ele não foi adulterado. - Monitorar atividades suspeitas, como comandos inesperados, conexões externas ou alterações no sistema.
- Revisar as permissões concedidas à IA do Cursor e evitar ações automáticas não supervisionadas.
A resposta da equipe do Cursor foi rápida e transparente, o que demonstra responsabilidade e compromisso com a segurança da comunidade.
Conclusão: a segurança na era dos copilotos de IA
A falha CurXecute no Cursor IDE é um exemplo concreto e alarmante de como a integração de inteligência artificial em ambientes de desenvolvimento pode abrir novas e perigosas superfícies de ataque.
Ela mostra que, mesmo em ferramentas confiáveis, a IA pode ser manipulada com entradas cuidadosamente elaboradas, criando riscos inesperados — tudo isso sem precisar de engenharia reversa ou exploits tradicionais.
À medida que mais plataformas adotam copilotos de código, é essencial que desenvolvedores, empresas e estudantes adotem uma postura crítica e preventiva. Verifique as permissões concedidas à IA, revise o que ela acessa, e evite interações automáticas com fontes externas não confiáveis.
Você já parou para pensar nas permissões que suas ferramentas de IA possuem? Compartilhe sua opinião nos comentários.