Hızla büyüyen AI ile çalışan geliştirme ortamı olan imleç IDE’de kritik bir güvenlik açığı, model bağlam protokolü (MCP) sisteminin manipülasyonu yoluyla kalıcı uzaktan kod yürütülmesini sağlar.
CVE-2025-54136 olarak izlenen ve “McPoison” olarak adlandırılan güvenlik açığı, saldırganların güvenlik uyarılarını tetiklemeden geliştirici makinelerinde keyfi komutlar yürütmesine izin veren bir güven doğrulama kusurundan yararlanır.
İmleç IDE, geleneksel kod düzenlemesini derin büyük dil modeli (LLM) entegrasyonlarıyla birleştiren en popüler AI destekli geliştirme platformlarından biri olarak ortaya çıkmıştır.
Platformun çekiciliği, özellikle uzak API’leri, LLM tarafından oluşturulan komutları ve yerel sistem işlemlerini içeren geliştirme iş akışlarının sorunsuz bir şekilde yürütülmesini sağlayan MCP yapılandırmalarıyla sofistike otomasyon yeteneklerinde yatmaktadır.
Güvenlik açığı, MCP yürütme için imlecin güven doğrulama modelinde temel bir kusurdan kaynaklanmaktadır.
Araştırmacılar, imleç MCP yapılandırmaları için ilk kullanıcı onayı gerektirse de, onaylanmış yapılandırmalarda sonraki değişikliklerin ek doğrulama veya kullanıcı onayı olmadan otomatik olarak güvenildiğini keşfettiler.
Bu, kalıcı, sessiz kod yürütülmesi için tek bir onayın kullanılabileceği tehlikeli bir saldırı vektörü oluşturur.
McPoison saldırısı Baypaslar
McPoison saldırısı aldatıcı derecede basit ama son derece etkili bir desen izler. Saldırganlar önce iyi huylu bir MCP yapılandırma dosyası işliyor (.cursor/rules/mcp.json) temel sistem yardımcı programları gibi zararsız komutlar içeren paylaşılan bir depoya.
Geliştiriciler projeyi imleçte açtıklarında, standart bir onay istemiyle karşılaşırlar ve zararsız komutu görerek MCP yapılandırmasını onaylarlar.
Bu ilk onaydan sonra kritik güvenlik açığı ortaya çıkar. İmleç, güveni, temel komutu veya bağımsız değişkenleri doğrulamak yerine yalnızca MCP anahtar adına bağlar.
Bu, saldırganların daha sonra ters kabuklar, veri söndürme araçları veya kalıcı arka kapı dahil olmak üzere keyfi sistem komutlarını yürütmek için aynı MCP girişini değiştirebileceği anlamına gelir. Bu değişiklikler, geliştirici imlecleri her yeniden açtığında sessizce yürüterek kalıcı bir saldırı vektörü oluşturur.
Check Point araştırmacıları, kurban IDE’yi başlattığında otomatik olarak etkinleştirilen bir ters kabuk yükü kullanarak güvenlik açığının şiddetini gösterdiler.
Yük, depo senkronizasyonları ve proje yeniden açılışları arasında kalıcı olarak kalır ve güvenilir geliştirme ortamını etkili bir şekilde otomatik bir saldırı platformuna dönüştürür.
İmleç’in MCP Sistemi, projeye özgü konfigürasyonları depolar .cursor/rules/mcp.json Dosyalar, her bir giriş bir MCP adı, komut ve isteğe bağlı bağımsız değişkenler tanımlar. Platform otomatik olarak tarar .cursor/ Proje başlatılması üzerine dizin ve keşfedilen MCP ile ilgili tüm yapılandırmaları işler.
Güven mekanizması, kullanıcıların ilk karşılaşmada MCP yapılandırmalarına izin vermeleri istendiği bir kerelik onay modeli aracılığıyla çalışır.
Bununla birlikte, sistem onaylanmış yapılandırmalar için değişiklik algılamasını uygulayamaz ve saldırganların onay alınan orijinal MCP adını korurken kötü amaçlı komutların yerini almasına izin verir.
Bu mimari kusur, işbirlikçi kalkınma ortamlarında sofistike tedarik zinciri saldırılarını sağlar. Depo yazma erişimi olan kötü niyetli bir aktör, başlangıçta zararsız bir MCP yapılandırması yoluyla bir dayanak oluşturabilir, daha sonra ek kullanıcı etkileşimi gerektirmeden sessiz komut ikamesi yoluyla ayrıcalıkları artırabilir.
Check Point Research, 16 Temmuz 2025’te imleç geliştirme ekibine karşı savunmasızlığı sorumlu bir şekilde açıkladı. Şirket derhal yanıt verdi ve 29 Temmuz 2025’te MCP yapılandırmalarında herhangi bir değişiklik için zorunlu onay istemleri uygulayarak temel güvenlik açığını ele alan 1.3 sürüm 1.3 verildi.
Düzeltme, tek bir alan karakteri eklemek gibi küçük değişikliklerin bile yeni yetkilendirme gereksinimlerini tetiklemesini sağlar.
İmleçin Sürüm Notları Güvenlik Yaması’ndan açıkça bahsetmese de, Check Point Araştırmacılar tarafından Bağımsız Test, güvenlik açığının iyileştirilmesini doğruladı
Kullanıcılar artık yürütmeden önce değiştirilmiş MCP yapılandırmasını açıkça onaylamalı veya reddetmeli ve MCPoison saldırısını sağlayan güven bypass’ı kapatmalıdır.
Açıklama, AI geliştirme platformlarını hedefleyen planlanan bir dizi güvenlik açığı değerlendirmesinde birincisini temsil etmektedir. AI destekli kodlama araçları yazılım geliştirme iş akışlarına giderek daha fazla entegre hale geldikçe, güvenlik araştırmacıları yapay zeka, otomasyon ve geleneksel yazılım güvenlik sınırlarının kesişiminden yararlanan yeni saldırı vektörlerini tanımlamaktadır.
Güvenlik uzmanları, MCPoison saldırısının AI Systems’ın otomasyon ve güvene dayalı iş akışlarına güvenmesinin yardımcı olmak için tasarladıkları kullanıcılara karşı nasıl silahlandırılabileceğini gösterdiğini belirtiyor.
İmleç IDE kullanan kuruluşlar, McPoison sömürüsüne karşı korunmak için derhal 1.3 veya daha sonraki sürümlere güncellenmelidir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches