Im Mittelpunkt der von Adversa AI beschriebenen Methode steht ein Deeplink, der den Protokoll-Handler von Cursor zur Installation eines neuen MCP-Servers anspricht. Ein solcher Link wäre in seiner rohen Form für viele Entwickler auffällig, weil darin direkt auf eine MCP-Installation verwiesen würde. Deshalb suchten die Forscher nach einer Verpackung, die im Entwicklungsalltag unverdächtig wirkt und eher beiläufig angeklickt wird.

Ihre Wahl fiel auf Pull-Request-Links. Mithilfe doppelter URL-Kodierung verwandelten sie den Installations-Deeplink in einen Textblock, der in einem Link zu einem Pull Request eingebettet war. Für das Opfer sah der Verweis damit wie ein gewöhnlicher Link auf eine Codeänderung aus, tatsächlich verbarg er jedoch eine Installationsanweisung für einen MCP-Server in Cursor AI.

Klickt ein Entwickler auf den Link, ist der Angriff noch nicht vollständig abgeschlossen. In der IDE erscheint ein Dialogfenster, das die Installation eines MCP-Servers bestätigt haben möchte. Genau hier setzt laut Adversa AI die zweite Schwachstelle an: Die Anzeige liefert zwar den Hinweis „MCP-Server installieren?“ und zeigt auch den Namen des Servers, im Feld „Argument“ ist jedoch nur eine kurze Codezeile sichtbar. Dadurch lasse sich ein harmlos wirkender Ausschnitt präsentieren, während schädliche Befehle außerhalb des sichtbaren Bereichs verborgen bleiben.

Rony Utevsky, leitender Forscher bei Adversa AI, ordnet das Grundproblem als bekannte Fehlerklasse ein. Es handle sich um eine allgemeine, alte Klasse und nicht um ein ausschließliches Problem von KI-Werkzeugen. Er verweist darauf, dass Claude Code eine Ein-Klick-Remote-Code-Ausführung aus genau dieser Klasse ausgeliefert habe, die im Mai offengelegt und gepatcht worden sei. Codex sei konstruktionsbedingt risikoärmer, weil dessen Deeplink nur das Eingabefeld vorausfülle und nichts ausgeführt werde, bevor der Nutzer Enter drückt. Copilot hole vor einer Aktion ausdrücklich eine Bestätigung ein.

Nach Darstellung von Adversa AI ist gerade die Rolle von MCP-Servern kritisch. Sie bestehen aus ausführbarem Code und verbinden KI-Modelle mit externen Werkzeugen wie APIs oder Dateisystemfunktionen. In Cursor werden sie mit denselben Rechten ausgeführt wie der Nutzer, der sie installiert. Gelingt die Platzierung eines präparierten MCP-Servers in der IDE eines privilegierten Entwicklers, können darüber beliebige Befehle ohne Rücksicht auf Sandboxing ausgeführt werden.

Adversa AI meldete Cursor zwei Fehlerberichte: einen zur Argument-Injection und einen zur unzureichenden Darstellung im Dialogfenster. Dem Bericht zufolge waren die Forscher bei der ersten Meldung nicht die Ersten. Das zweite Problem sei intern bei Cursor bereits am 27. April thematisiert worden. Ein Sprecher von Cursor erklärte gegenüber Dark Reading, man verfolge die beiden Punkte inzwischen als eine einzige Schwachstelle. Der Fehler sei an einen externen Sicherheitsdienstleister gemeldet und dort irrtümlich geschlossen worden. Inzwischen sei er wieder geöffnet, werde untersucht und man werde geeignete Schritte zur Behebung einleiten.

Bis dahin empfiehlt Adversa AI Unternehmen, ihre MCP-Sicherheit strenger zu fassen: nur freigegebene Server per Allowlist zuzulassen, Installations- und Ausführungswege in Cursor zu filtern und Erkennungssysteme als Rückfallebene einzusetzen. Utevsky betont dabei, dass nicht ein einzelner Schritt das eigentliche Problem sei, sondern die gesamte Kette aus Link, Dialog, Konfiguration und MCP-Installation.