Siber güvenlik araştırmacıları, yapay zeka (AI) destekli kod editör imlecinde uzaktan kod yürütmesine neden olabilecek yüksek şiddetli bir güvenlik kusuru açıklamışlardır.
CVE-2025-54136 (CVSS Puanı: 7.2) olarak izlenen güvenlik açığı kodlandı. Mcpoison Kontrol noktası araştırması ile, yazılımın bağlam protokolü (MCP) sunucu yapılandırmalarını modellemek için değişiklikleri işleme biçiminde bir tuhaflıktan yararlanması nedeniyle.
Cursor, geçen hafta yayınlanan bir danışmanda, “İmleç AI’sındaki bir güvenlik açığı, bir saldırganın paylaşılan bir GitHub deposunun içindeki zaten güvenilir bir MCP yapılandırma dosyasını değiştirerek veya dosyayı hedefin makinesinde yerel olarak düzenleyerek uzak ve kalıcı kod yürütülmesine izin veriyor.” Dedi.
“Bir işbirlikçisi zararsız bir MCP’yi kabul ettiğinde, saldırgan herhangi bir uyarı tetiklemeden veya yeniden teçhizat olmadan kötü niyetli bir komut (örn., Calc.exe) için sessizce değiştirebilir.”
MCP, büyük dil modellerinin (LLM’ler) dış araçlar, veriler ve hizmetlerle standartlaştırılmış bir şekilde etkileşime girmesine izin veren Antropic tarafından geliştirilen bir açık standarttır. AI şirketi tarafından Kasım 2024’te tanıtıldı.
Kontrol noktası başına CVE-2025-54136, bir kullanıcı imleç içinde onayladıktan sonra bir saldırganın bir MCP yapılandırmasının davranışını değiştirmesinin mümkün olduğu ile ilgilidir. Özellikle, aşağıdaki gibi ortaya çıkar –
- Paylaşılan bir depoya iyi huylu görünümlü bir MCP yapılandırması (“.Cursor/kurallar/mcp.json”) ekleyin
- Kurbanın kodu çekmesini ve imleçte bir kez onaylamasını bekleyin
- MCP yapılandırmasını kötü amaçlı bir yükle değiştirin, örneğin, bir komut dosyası başlatın veya bir arka kapı çalıştırın
- Kurban her açıldığında kalıcı kod yürütülmesi
Buradaki temel sorun, bir konfigürasyon onaylandıktan sonra, değiştirilmiş olsa bile gelecekteki çalışmalar için imleç tarafından süresiz olarak güvenilir olmasıdır. Güvenlik açığının başarılı bir şekilde kullanılması, kuruluşları sadece tedarik zinciri risklerine maruz bırakmakla kalmaz, aynı zamanda bilgi olmadan veri ve fikri mülkiyet hırsızlığına da açılır.
16 Temmuz 2025’teki sorumlu açıklamanın ardından, sorun, MCP yapılandırma dosyasına her bir giriş değiştirildiğinde, Temmuz 2025’in sonlarında yayınlanan 1.3 sürüm 1.3 sürümünde imleç tarafından ele alınmıştır.
Check Point, “Kusur, AI destekli kalkınma ortamlarının arkasındaki güven modelinde kritik bir zayıflık ortaya koyuyor ve LLM’leri ve otomasyonu entegre eden ekipler için iş akışlarına yükseltiyor.” Dedi.
Geliştirme, AIM laboratuvarlarından, backsash güvenliğinin ve Hiddenlayer’ın AI aracında uzaktan kod yürütülmesini sağlamak ve denilist tabanlı korumalarını atlamak için istismar edilebilecek birden fazla zayıflık ortaya koymasından günler sonra geliyor. Ayrıca 1.3 sürümünde yamalı.
Bulgular ayrıca, kod oluşturma için LLM’lerin kullanılması, saldırı yüzeyinin AI tedarik zinciri saldırıları, güvenli olmayan kod, model zehirlenmesi, hızlı enjeksiyon, halüsinasyonlar, uygunsuz yanıtlar ve veri sızıntıları gibi çeşitli ortaya çıkan risklere genişletilmesi de dahil olmak üzere iş iş akışlarında AI’nın artan benimsenmesi ile çakışıyor –
- Java, Python, C#ve JavaScript kodu yazma yetenekleri için 100 LLM’lik bir test, üretilen kod örneklerinin% 45’inin güvenlik testlerinde başarısız olduğunu ve OWASP Top 10 güvenlik açıklarını tanıttığını bulmuştur. Java,%72 güvenlik hatası oranı, ardından C# (%45), JavaScript (%43) ve Python (%38) ile yönetildi.
- LegalPWN adlı bir saldırı, yeni bir hızlı enjeksiyon vektörü olarak yasal feragatnamelerden, hizmet şartlarından veya gizlilik politikalarından yararlanmanın mümkün olduğunu ve kötü niyetli talimatların, kötü niyetli kodlar olarak yanlış bir şekilde uygun olmayan bir kod sunma gibi, uygun olmayan bir kod önerisi gibi, LLM’lerde nasıl bir şekilde gömülebileceğini vurgulayarak mümkün olduğunu ortaya koydu.
- Arka planda yeni bir tarayıcı sekmesi açmak, bir AI chatbot’u başlatmak ve bunları gizlice verileri çıkarmak ve model bütünlüğünü tehlikeye atmak için kötü niyetli istemler enjekte etmek için özel izinleri olmayan bir haydut tarayıcı uzantısı kullanan bir saldırı. Bu, Belge Nesne Modeline (DOM) komut dosyası erişimi ile herhangi bir tarayıcı eklentisinin doğrudan AI isteminden okuyabileceği veya yazabileceği gerçeğinden yararlanır.
- Bir LLM’yi mantıksal olarak geçersiz tesisleri kabul etmeye yönlendiren ve aksi takdirde kısıtlı çıktılar üretmesine neden olan ve böylece modeli kendi kurallarını çiğnemeye kandıran yanlışlık arızası adı verilen bir jailbreak tekniği.
- AI sistemlerinin aracı doğasını silahlandırarak alan, ortamlar ve topolojiler arasında keyfi kötü amaçlı kod yürütmek için çok ajan bir sistemin (MAS) kontrol akışını manipüle eden MAS Hackinging adlı bir saldırı.
- Çıkışları tehlikeye atmak için çıkarım aşamasında yürütülen sohbet şablonu dosyalarına kötü niyetli talimatları yerleştirerek AI modeli çıkarım boru hattını hedefleyen zehirli GPT tarafından üretilen Birleşik Format (GGUF) şablonları adı verilen bir teknik. Girdi doğrulaması ve model çıkışı arasındaki saldırıyı konumlandırarak, yaklaşım hem sinsi hem de AI korkuluklarını atlar. Hugging Face gibi hizmetler aracılığıyla dağıtılan GGUF dosyaları ile saldırı, saldırıyı tetiklemek için tedarik zinciri güven modelinden yararlanır.
- Bir saldırgan, modellerin gizliliğini, bütünlüğünü ve mevcudiyetini tehlikeye atmak için MLFLOW, Amazon Sagemaker ve Azure ML gibi Makine Öğrenimi (ML) eğitim ortamlarını hedefleyebilir, sonuçta yanal hareket, ayrıcalık artışı ve model hırsızlığı ve zehirlenmeye yol açabilir.
- Antropik tarafından yapılan bir çalışma, LLM’lerin, bilinçaltı öğrenme adı verilen bir fenomen olan damıtma sırasında gizli özellikleri öğrenebileceğini ortaya çıkardı, bu da modellerin bu özelliklerle tamamen ilgisiz görünen, potansiyel olarak yanlış hizalama ve zararlı davranışlara yol açan oluşturulan veriler yoluyla davranışsal özellikleri iletmesine neden oldu.
Pillar Security’den Dor Sarig, “Büyük dil modelleri ajan iş akışlarına, kurumsal copilotlara ve geliştirici araçlarına derinden gömüldükçe, bu jailbreak’lerin ortaya koyduğu risk önemli ölçüde artıyor.” Dedi. “Modern jailbreaks, bir AI bileşenine bulaşan ve birbirine bağlı sistemlerde basamaklı mantık arızalarına yol açan bağlamsal zincirlerle yayılabilir.”
“Bu saldırılar, AI güvenliğinin mimari kusurlara veya CVES’e güvenmeden geleneksel önlemleri atladıkları için yeni bir paradigma gerektirdiğini vurgulamaktadır. Güvenlik açığı, modelin taklit etmek için tasarlandığı dilde ve akıl yürütme.”