MIX Fold3包裝盒泄露 新機本月登場
小米的全新折疊屏旗艦MIX Fold3將于本月發(fā)布,近日該機的真機包裝盒在網(wǎng)上泄露。從圖上來看,新的MIX Fold3包裝盒在外觀設計方面延續(xù)了之前的方案,變化不大,這也是目前小米旗艦
8 月 2 日消息,科技媒體 bleepingcomputer 昨日(8 月 1 日)發(fā)布博文,報道稱讓程序員“氪金”上癮的 AI 工具 Cursor 存在 CurXecute 嚴重漏洞,幾乎影響所有版本,官方已于 7 月 29 日發(fā)布 1.3 版本修復,并敦促開發(fā)者盡快升級。
該漏洞追蹤編號為 CVE-2025-54135,可以被攻擊者利用注入惡意提示,讓 AI 智能體執(zhí)行遠程代碼,并獲得開發(fā)者權限。
Cursor 集成開發(fā)環(huán)境(IDE)依賴 AI 智能體幫助開發(fā)者提高編碼效率,并通過 Model Context Protocol(MCP)協(xié)議連接外部資源。
然而,研究人員警告,MCP 雖然擴展了 AI 智能體的能力,但也讓其暴露在不信任的外部數(shù)據(jù)中,可能影響其控制流程,攻擊者可借此劫持代理會話,冒用用戶權限執(zhí)行操作。
攻擊手法與 Microsoft 365 CoPilot 的“EchoLeak”漏洞類似,后者可無用戶交互地竊取敏感數(shù)據(jù)。在 Cursor 中,攻擊者可通過外部托管的服務注入惡意提示,篡改項目目錄下的~/.cursor/ mcp.json 文件,從而實現(xiàn)任意命令的遠程執(zhí)行。
Aim Security 團隊創(chuàng)建的演示視頻顯示,攻擊者可利用第三方 MCP 服務器(如 Slack、GitHub)發(fā)布惡意提示,在受害者打開聊天并指令 AI 智能體總結消息后,惡意載荷(如 shell)會直接寫入磁盤。攻擊面包括任何處理外部內(nèi)容的第三方 MCP 服務器,如問題跟蹤器、客服收件箱甚至搜索引擎。附上演示視頻如下:
研究人員于 7 月 7 日私下報告漏洞,Cursor 次日即合并補丁至主分支。7 月 29 日發(fā)布的版本 1.3 包含多項改進和修復。Cursor 同時發(fā)布安全公告,將漏洞評為中等嚴重性(8.6 分),敦促用戶立即更新至最新版本,以避免已知風險。
本文鏈接:http://www.tebozhan.com/showinfo-119-175269-0.html請立即更新:AI 編程神器 Cursor 曝 8.6 分高危漏洞,可遠程執(zhí)行任意命令
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識,若有侵權等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯(lián)系:2376512515@qq.com 津ICP備18001702號
津公網(wǎng)安備 12010102000574號